App che ruba 90 dollari tramite Touch ID passa i controlli Apple, poi viene rimossa

Il processo di revisione delle app da parte di Apple è molto severo e rigido. Nonostante questo, dei malintenzionati sono riusciti ad aggirarlo implementando in una "innocua" applicazione per misurare il battito cardiaco un sofisticato sistema che rubava 90 dollari agli ignari utenti sfruttando il Touch ID.

In particolare, in seguito ad alcuni test effettuati dai colleghi di 9to5Mac, è emerso che l'applicazione, denominata "Hearth Rate Measurement", chiedeva all'utente di utilizzare il Touch ID per misurare il battito cardiaco, ma successivamente autorizzava un pagamento di 89,99 dollari sfruttando l'impronta digitale dell'ignaro utente.

Il procedimento era piuttosto ingegnoso: la luminosità dello schermo scendeva al minimo e rendeva essenzialmente illeggibile quanto scritto nel messaggio relativo agli acquisti in-app. In questo modo, l'utente era chiaramente portato a mettere il dito sopra l'apposito sensore. Ovviamente, l'applicazione violava i termini di Apple, che ha prontamente rimosso "Hearth Rate Measurement" una volta verificata l'effettivo comportamento malevolo.

Resta comunque da capire come un'applicazione del genere sia riuscita a superare senza problemi i rigidi controlli di Apple e sia stata resa scaricabile da tutti tramite l'App Store. Si tratta sicuramente di uno dei primi casi di questo tipo di cui siamo venuti a conoscenza. Speriamo che non se ne verifichino altri in futuro.