App Store 现新型伪装应用，这卡路里燃烧起来可真贵

利用人的弱点来赚钱一直是黑客的保留招式，现在他们居然把邪恶的种子撒布到“燃烧我的卡路里”的“健身追踪工具”里去了，而且你没想到的是，黑客在利用苹果的 Touch ID 从 iOS 用户那里偷钱。

“神坛”Reddit 用户发现，有多个应用会伪装成健身追踪工具，当受害者扫描他们的指纹时，应用程序使用的狡猾支付机制会被激活，而此时用户完全被蒙在鼓里，他们还以为自己即将开始疯狂甩肉呢。

健康的生活方式是当下人人追求的时尚，而健身则是通往这种生活方式的不二法门，App Store 上琳琅满目的健身应用就是最好的证明。不过，一向审核颇为严格的 App Store 最近却混进来不少李鬼（有的虚假应用现在还能下载）。这些应用有叫“健身平衡 app”的，也有叫“卡路里追踪器 app”的，乍一看是要将用户引上健康之路的良师益友，但 Reddit 用户却发现，这些能测体脂，追踪卡路里消耗或提醒用户多喝水的应用会从用户那里“吸钱”。

在用户首次启动这些健身应用后，便会看到请求指纹扫描“查看其个性化卡路里跟踪器和饮食建议”的画面（如上图）。一旦你按照提示将手指放上 Touch ID，就会有弹窗跳出来。不好意思，这时你已经中了圈套。

这个弹窗显示的时间连 1 秒都不到，如果你的苹果账户连着信用卡或借记卡，就会自动将钱转给这些应用的幕后黑手（由于验证过指纹，苹果系统默认这些交易是安全的），价格可是相当的不菲，黑客不从你身上“割”下 100 美元绝不会罢休（如下图）。

从用户界面和功能来看，有两个被揭穿的健身应用肯定出自同一个开发者之手。有些上当的用户还在 Reddit 上发了此类应用的视频。

如果用户警惕性高，拒绝扫描自己的手指，就会有另一个弹窗出现，告诉用户需要点按“继续”按钮来使用应用。如果你乖乖照做，应用就会重复刚刚的过程，直到你就范为止。

虽然“健身平衡app”是明显的恶意软件，它依然得到了不少五星评价，有不少用户还像模像样的写了评价，其平均得分更是高达 4.3 分。不过，这一切都是假的，对网络罪犯来说，用虚假评论来提升应用的声望已经是个通用招式了。

由于愤怒的受害者将问题投诉给了苹果，因此这两款应用已经下架。有的用户试图联系“健身平衡 app”的开发者，得到的回复是会尽快对问题进行修复并随后更新 1.1 版（如下图）。

怎样识别并预防此类骗局？

由于 App Store 里没有安全工具类应用，因此用户只能依靠苹果的安全措施来守护自己，而这些措施有失灵的时候。

在这种情况下，ESET 推荐用户多看看应用评价，尤其是那些负面评价，毕竟高分评价太容易造假了。

iPhone X 之后机型的用户还能激活一个名叫“双击支付”的功能，这时只有双击侧边按键才能完成验证和付款（如下图）。

如果你已经不幸上了这些黑客的圈套，还有一种方法能追回损失，那就是向苹果官方投诉。

Via. WeLiveSecurity.com

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 草榴社区 | 程序媛| 以图搜图 心脏滴血 | 撞库攻击 | 黑客猎人 刷票 | 人肉 | 炸群 | 内鬼 恶性病毒怼天怼地怼对手 真相篇 ▼ 这是一场针对高级知识分子的裸聊诈骗 打“农药”刷金币：我的队友原来是个机器人 黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人 iPhone充电器可以当监听器？我到某宝试了下 当俄罗斯黑客遇到老虎机 发家致富？ 一个自动挖掘工具，能找到比核武器更可怕的漏洞 “老婆，开门”，隔壁老王带来的恐惧 无人机越狱? 资深女黑客一怒“打飞机” 自从安了智能门锁，家里闹妖精？ 中国安全圈真实薪资曝光 人物篇 ▼ 道哥：重回阿里的29个月 黑客老王：一个人的黑客史 吴石：站在0和1之间的男人 黑客衰大：45天攻入姑娘的心 黑客段子手“呆子不开口” “特斯拉破解第一人”刘健皓 唐青昊：虚拟世界的越狱者 MOSEC：盘古团队的野心优雅 让周鸿祎“三顾茅庐” 的 黑客 MJ 美女黑客张婉桥的“爱丽丝奇遇记” TK教主和玄武实验室的几个小故事 世界上最坚固的门轰塌后，如何再建 这个黑客在体内植入9块芯片后…… 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注