指紋認証での課金登録にご注意を 31
ストーリー by hylom
指先一つで 部門より
指先一つで 部門より
指紋認証機能搭載のiPhoneでは、アプリの購入やアプリ内コンテンツの購入時のユーザー認証としてパスワードだけでなく指紋認証も利用できるようになっている。これを悪用し、突然指紋認証画面を表示させることで誤課金を誘うようなアプリが登場しているという(ITmedia、iPhone Mania)。
iPhoneの指紋センサはホーム画面を表示する操作を行うために多用するホームボタンと統合されている。そのため、指紋認証画面を閉じようとしてホームボタンを押し、その結果指紋認証が行われて課金が成立してしまうというトラブルが発生しているようだ。また、問題のアプリを起動してアプリ内で課金画面を表示させるリンクをWebページなどの広告として表示させることで、Web閲覧中に突然アプリの課金画面を表示させるというテクニックも使われている模様(youkoseki.com)。
運用上の問題 (スコア:2, 参考になる)
iPhoneの指紋認証であるTouch IDには
・iPhoneのロックを解除
・iTunes StoreとApp Store
の項目があり
それぞれに利用可否を設定可能です
「iTunes StoreとApp Store」で有効なら
使われてしまうのは仕様であり
ユーザー運用上の問題です
Androidのほうは
ホームボタンに指紋認証入っている機種は持っていないので
不明です
/*
Android、iPhoneともに
SIMなしクレカ登録なし運用しつつ
仕様って便利な言葉だよねぇと思う今日このごろ
*/
Re: (スコア:0)
クレカ登録したくないときは、プリペイドカードを登録するといいよ。
チャージ額以上払ってしまうリスクはないし、チャージで事前に現生動かすから
心理的なストッパーがかかって安易な購入に走りにくくなる。
Re: (スコア:0)
多用するホームボタンに指紋認証ってのは無理があるわなあ。
一つのインターフェイスに複数の機能を割り当てるのは見た目がスマートになる以外デメリットしかないよね。
Re: (スコア:0)
iPhoneは芸術作品だから見た目が全てだろ
Re: (スコア:0)
一応技術系サイトらしいからさ、
「フールプルーフ」とか「フェイルセーフ」とかって言葉で考えようぜ。
#林檎製品が芸術品だからってのなら異論はない。
ちなみにiPhone Xでは (スコア:1)
顔認証に加え横ボタンをダブルクリックしないとアプリ課金が完了しない。
これ以外に横ボタンをダブルクリックするのはApple PayのNFC機能を起動する時くらいなので、このタイプの攻撃は成功しにくくなっている。
Re: (スコア:0)
つまり、iPhone X を使っている俺様には死角なぞなかったということだなw
Re:ちなみにiPhone Xでは (スコア:3, 興味深い)
iPhone X に死角なかった。
しかし、俺様に死角がないわけではなかった。
#無敵の主役ロボットもパイロットが弱点というのはお約束
Re: (スコア:0)
まぁ、画面が四角じゃないですしな。(違
Re: (スコア:0)
顔認証に加え横ボタンをダブルクリックしないとアプリ課金が完了しない。
さすがiPhoneバツイチ
失敗に学んでますね
Re: (スコア:0)
暗がりで画面がライトになって顔認証してるのを他人が見たら怖そう
Re: (スコア:0)
何その馬鹿みたいな操作。Windowsみたい
登録 (スコア:0)
「指紋登録は小指か薬指でして、普段は親指か人差し指使ってれば問題おきないんじゃね?」
って意見もあった。
#だが、指紋認証をうけつけてくれないオレの指に資格は無かった。
#なんで反応しないんだよ。
Re: (スコア:0)
使う指によって認証範囲が変えられるようになったらいいのかな
親指・人差し指の指紋はホームのロック解除までだけど、薬指は課金購入OKとか。
Re:登録 (スコア:1)
怪我するかして登録した指紋が使えなくなると認証OUT?
#無理やり認証させるのに指だけ取ってくるとかいうシーンなんかであったっけ。
Re:登録 (スコア:1)
>怪我するかして登録した指紋が使えなくなると認証OUT?
星新一のショートショートであったな。
Re:登録 (スコア:1)
>星新一のショートショートであったな。
予言の書ですね。
Re: (スコア:0)
>#無理やり認証させるのに指だけ取ってくるとかいうシーンなんかであったっけ。
こういう奴?
「マレーシアで指紋認証を装備したベンツが強盗に遭い,運転者の指が切り取られて車を奪われる事件が発生していたそうだ。」
https://srad.jp/story/05/04/05/1325210/ [srad.jp]
Re: (スコア:0)
親指はパパ認証
人差し指はママ認証
中指は兄さん認証
薬指は姉さん認証
小指は赤ちゃん認証
Re: (スコア:0)
指が荒れていると、時間が経つにつれ認識率が下がる。
なので荒れてない関節部分を複数回登録している。
といっても関節で触れないのもあるので、だめなものはだめ。
Re: (スコア:0)
最後にスワイプする形の確認ボタン置けばいいだけなんじゃね?
たいした手間じゃないんだし、勝手に課金されるリスクと比べればユーザーも許容できると思うがなぁ。
Apple Pay on Web (スコア:0)
Apple PayはアプリインストールしなくてもWebでも使えるようになってる。
なので、アプリインストールは要件にはならない。けど、サブスクリプションは無理かも。
アプリ内課金あまりしないけど、
確か、指紋認証の前か後かにダイアログで「本当に買う?」って聞いてきた気がするけど、どうだったかな。
画面を閉じようとして? (スコア:0)
ストーリーの
>指紋認証画面を閉じようとしてホームボタンを押し、
というのはどこから?
元記事には
>スクリーンショットを撮るためにホームボタンに触れたところ、
と書いてあるが。
あと指紋認証せずに指紋認証画面を閉じる手段は当然別にあるんだよね?
もし無かったら欠陥だよね?
#iPhone系は全く使ったことがないので知らない。
Re:画面を閉じようとして? (スコア:1)
指紋認証画面に表示されているキャンセルボタンを押すのが正しいやり方。
ホームボタン押下は本来アプリを閉じてホーム画面に戻るための手段だが、それを間違って押してしまうことがあるというのが問題。
きちんと深押しすれば指紋認証が通る前にアプリ閉じの指示の方が優先され、課金されずにアプリを落とすことが出来るのだが、十分に圧力を加えずに触ってしまうと指紋認証の方が通ってしまう。
Re: (スコア:0)
普通はダイアログを閉じようとしてホームボタンを押して閉じようとするところで認証が走る。
リンク先のさらにリンク先の報告者は認証画面のスクリーンショットを取るために
ホームボタンに触ったので認証が走ってしまった
そら別の話よ
Re: (スコア:0)
爪で押す
Re: (スコア:0)
「ホーム」をAssistiveTouchに設定しておく。
ホームボタンは壊れやすいんで。
おれ勝利 (スコア:0)
認証系はすべて外してるおれ勝利
Re: (スコア:0)
なあに、画面上に残った指紋でパスワードはどうせバレるから心配すんな。
Re: (スコア:0)
まだ70年代のスパイ映画のセキュリティ侵入場面みたいの信じてる人いたんだ
Re: (スコア:0)
そして、フィッシングサイトにパスワード抜かれる、と