不肖app打著健康減重的名義，誘騙iPhone 用戶在TouchID掃指紋刷卡

安全公司發現近日在蘋果App Store上有二個詐騙iOS app以提供健康減重資訊為名，騙取iPhone用戶利用TouchID刷卡付出大筆金錢。

ESET研究人員發現，這二個iOS app分別為Fitness Balance及Calories Tracker，乍看之下像是合法的減重及健康app，可計算BMI、追蹤每日攝取的卡路里及提醒用戶多喝水。然而使用者啟用這些app後，它們會要求使用者利用iPhone的TouchID掃指紋，稱可以「讀取個人化的卡路里紀錄及飲食建議」。當使用者照做後，這些app就顯示消費者將以TouchID支付99.99、119.99美元，或是139.99歐元的程式內購買（in-app purchase）視窗訊息。

由於該訊息僅顯示一秒鐘，如果消費者的Apple帳號有綁信用或轉帳卡的話，這筆交易就會馬上完成確認，直接從使用者銀行帳戶扣走一大筆錢。要是使用者拒絕掃指紋，Fitness Balance app就會跳出一個視窗訊息要求使用者按下「continue」才能使用這款app。Reddit上已經有用戶通報受害。

從介面和功能來判斷，這兩個app極可能出自同一人或業者。雖然這個app如此惡劣，但仍在App Store獲得許多5顆星評論，平均得分4.3顆星，至少有18個人給予最正面的評價。ESET研究人員Lukas Stefanko指出，幫自己的app給予假評分也是歹徒常用來自我美化的技倆。

有用戶聯絡Fitness Balance app的開發商，卻僅得到承諾將在1.1版中修復「問題」等不痛不癢的回覆。在受害者通報後，蘋果已經將其從App Store上移除。受害者也可以試著要求蘋果App Store退費。

App Store上不允許安全產品，因此使用者只能仰賴蘋果的安全措施。安全人員建議使用者應多看一下其他用戶評價，而正面評價很容易偽造，因此看負面評價比較能透露真相。

另外，iPhone X用戶也可以啟用名為雙擊支付（Double Click to Pay）的功能，按二次側邊按鍵才能完成支付驗證，藉此減緩被騙的速度。