Betrug im App Store: Schädliche App nutzt Touch ID für In-App-Käufe aus

2 Minuten
Apple iPhone XR
Während der Google Play Store des Öfteren von Malware und schädlichen Apps heimgesucht wird, ist das im Apple App Store eher selten der Fall. Trotzdem konnten nun verschiedene Apps ihr Unwesen treiben und sich in vielen Fällen den Fingerabdruck der iPhone-Nutzer zu Eigen machen. Apple geht bereits dagegen vor.

Apps in den App Store von Apple zu bekommen ist im Vergleich zum Google Play Store nicht so einfach. Der kalifornische Hersteller hat ein eigenes Team, das neue Anwndungen anhand strenger Auflagen prüft, bevor sie in den App Store aufgenommen werden. Deswegen schaffen es schädliche Apps zumeist nicht in die Marktplattform.

Allerdings haben es nun verschiedene Apps aus Osteuropa und Südamerika in den App Store geschafft. Bei den Apps handelt es sich um einen vermeintlichen Herzfrequenzmesser sowie um zwei Kalorien- und Fitnesstracker. Im App Store selbst wurden die entsprechenden Apps mit einer guten bis sehr guten Wertung angezeigt – offenbar waren die Bewertungen jedoch gekauft. Denn die Nutzerkommentare enthalten massenhaft Beschwerden.

App Herzfrequenzmesser ScreenshotQuelle: Heise Online

In-App-Käufe mittels Fingerabdruck

Möchten iPhone-Nutzer Inhalte kaufen, müssen sie zur Verifizierung den Finger auf den Home-Button legen, in dem der Fingerabdrucksensor integriert ist. Diesen Prozess haben die hinter den Apps stehenden Betrüger ausgenutzt. Die Apps hielten den Nutzer dazu an, ihren Finger für mehrere Sekunden auf den Home-Button zu legen. Während vordergründig beispielsweise der Countdown für die Erfassung der Herzfrequenz lief, startete im Hintergrund der Kauf eines In-App-Inhaltes. Die verlangten Beträge blieben dabei nicht im Centbereich, sondern beliefen sich auf bis zu 90 US-Dollar. Da die Nutzer ihren Finger mitunter recht lang auf dem Home-Button liegen lassen mussten, wurden viele Käufe letztlich auch bestätigt. Zu betonen ist aber: Der Fingerabdrucksensor dient nur zur Authentifizierung des Nutzers, misst aber keinerlei Daten wie den Puls oder Ähnliches.

Von dem Betrug ausgeschlossen sind Geräte mit Face ID. Um hier Käufe zu tätigen, müssen Nutzer einen sich an der Seite befindenden Knopf zweimal drücken. Wie Apple verlauten ließ, sei man an dem Fall bereits dran und habe die Apps aus dem App Store entfernt. Wie die Malware durch den Prüfungsprozess gelangen konnte, ist bislang noch nicht geklärt.

Deine Technik. Deine Meinung.

Und was sagst du?

Bitte gib Dein Kommentar ein!
Bitte gibt deinen Namen hier ein

VERWANDTE ARTIKEL