A conveniência, a rapidez e a facilidade de uso do Touch ID para desbloquear o iPhone ou aprovar uma compra na App Store foram aproveitadas por criminosos para roubar dinheiro dos usuários dos aplicativos de saúde “Monitor de Frequência Cardíaca”, “App Fitness Balance” e “Calories Tracker”.
Com a promessa de acompanhar o consumo de calorias ou calcular o IMC, eles solicitavam os usuários a tocar o Touch ID antes de exibir uma informação aparentemente legítima, como efetuar a medição da frequência cardíaca, por exemplo. Nesse momento, os aplicativos exibiam um pop-up de compra cobrando entre US$ 90,00 e US$ 120,00. Na sequência, a tela era escurecida para dificultar a visualização do prompt.
Em alguns casos, mesmo quando o usuário se recusava a usar o Touch ID para ativar um recurso, o aplicativo demandava o toque para continuar, o que acabava por ativar o golpe de pagamento. Não está claro se esses aplicativos vieram de desenvolvedores separados ou de uma única pessoa que opera diversas contas. O que chama a atenção é que para efetuar o golpe não foi empregado nenhum malware e sim explorada a facilidade de uso do Touch ID.
“Os criminosos enxergam os usuários de dispositivos móveis e de aplicativos como uma oportunidade para ganhar dinheiro e a Apple Store e a loja do Google Play como avançados canais de distribuição. Como resultado, eles estão encontrando maneiras de contornar os processos de verificação para inserir seus aplicativos fraudulentos e mal-intencionados nos dispositivos dos consumidores. Isso mostra que, embora as lojas busquem retirar do ar apps ruins, os criminosos só ficam melhores em encontrar soluções alternativas”, analisa Sam Bakken, gerente sênior de marketing de produtos da OneSpan.
Para Bakken, os consumidores precisam aplicar um exame adicional aos aplicativos que baixam – mesmo das lojas – e analisar as avaliações porque não podem contar com a Apple ou com o Google para protegê-los em todas as instâncias. “Felizmente, bancos e instituições financeiras podem facilmente integrar recursos de proteção em seus aplicativos móveis para blindá-los de ambientes hostis e não confiáveis e assim proteger os usuários de si mesmos”, conclui o especialista.
Não se sabe quantas pessoas perderam dinheiro com as fraudes e os aplicativos já foram retirados da Apple Store. Usuários do iPhone X ou posterior não foram afetados, pois esses dispositivos não possuem o botão do Touch ID. Usuários do iPhone 8 ou anterior devem ficar atentos e empregar o Touch ID somente em aplicativos nos quais tenham motivos para confiar.
