パスワードを忘れた? アカウント作成
13613395 story
犯罪

指紋認証での課金登録にご注意を 31

ストーリー by hylom
指先一つで 部門より

指紋認証機能搭載のiPhoneでは、アプリの購入やアプリ内コンテンツの購入時のユーザー認証としてパスワードだけでなく指紋認証も利用できるようになっている。これを悪用し、突然指紋認証画面を表示させることで誤課金を誘うようなアプリが登場しているという(ITmediaiPhone Mania)。

iPhoneの指紋センサはホーム画面を表示する操作を行うために多用するホームボタンと統合されている。そのため、指紋認証画面を閉じようとしてホームボタンを押し、その結果指紋認証が行われて課金が成立してしまうというトラブルが発生しているようだ。また、問題のアプリを起動してアプリ内で課金画面を表示させるリンクをWebページなどの広告として表示させることで、Web閲覧中に突然アプリの課金画面を表示させるというテクニックも使われている模様(youkoseki.com)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 運用上の問題 (スコア:2, 参考になる)

    by Anonymous Coward on 2018年06月04日 15時48分 (#3419165)

    iPhoneの指紋認証であるTouch IDには
    ・iPhoneのロックを解除
    ・iTunes StoreとApp Store
    の項目があり
    それぞれに利用可否を設定可能です

    「iTunes StoreとApp Store」で有効なら
    使われてしまうのは仕様であり
    ユーザー運用上の問題です

    Androidのほうは
    ホームボタンに指紋認証入っている機種は持っていないので
    不明です

    /*
    Android、iPhoneともに
    SIMなしクレカ登録なし運用しつつ
    仕様って便利な言葉だよねぇと思う今日このごろ
    */

    • by Anonymous Coward

      クレカ登録したくないときは、プリペイドカードを登録するといいよ。
      チャージ額以上払ってしまうリスクはないし、チャージで事前に現生動かすから
      心理的なストッパーがかかって安易な購入に走りにくくなる。

    • by Anonymous Coward

      多用するホームボタンに指紋認証ってのは無理があるわなあ。
      一つのインターフェイスに複数の機能を割り当てるのは見た目がスマートになる以外デメリットしかないよね。

      • by Anonymous Coward

        iPhoneは芸術作品だから見た目が全てだろ

    • by Anonymous Coward

      一応技術系サイトらしいからさ、
      「フールプルーフ」とか「フェイルセーフ」とかって言葉で考えようぜ。

      #林檎製品が芸術品だからってのなら異論はない。

  • by Anonymous Coward on 2018年06月04日 14時33分 (#3419113)

    顔認証に加え横ボタンをダブルクリックしないとアプリ課金が完了しない。
    これ以外に横ボタンをダブルクリックするのはApple PayのNFC機能を起動する時くらいなので、このタイプの攻撃は成功しにくくなっている。

    • by Anonymous Coward

      つまり、iPhone X を使っている俺様には死角なぞなかったということだなw

      • by Anonymous Coward on 2018年06月04日 14時46分 (#3419121)

        iPhone X に死角なかった。
        しかし、俺様に死角がないわけではなかった。

        #無敵の主役ロボットもパイロットが弱点というのはお約束

        親コメント
      • by Anonymous Coward

        まぁ、画面が四角じゃないですしな。(違

    • by Anonymous Coward

      顔認証に加え横ボタンをダブルクリックしないとアプリ課金が完了しない。

      さすがiPhoneバツイチ
      失敗に学んでますね

      • by Anonymous Coward

        暗がりで画面がライトになって顔認証してるのを他人が見たら怖そう

    • by Anonymous Coward

      何その馬鹿みたいな操作。Windowsみたい

  • by Anonymous Coward on 2018年06月04日 14時48分 (#3419125)

    「指紋登録は小指か薬指でして、普段は親指か人差し指使ってれば問題おきないんじゃね?」
    って意見もあった。

    #だが、指紋認証をうけつけてくれないオレの指に資格は無かった。
    #なんで反応しないんだよ。

    • by Anonymous Coward

      使う指によって認証範囲が変えられるようになったらいいのかな

      親指・人差し指の指紋はホームのロック解除までだけど、薬指は課金購入OKとか。

      • by nemui4 (20313) on 2018年06月04日 14時58分 (#3419136) 日記

        怪我するかして登録した指紋が使えなくなると認証OUT?

        #無理やり認証させるのに指だけ取ってくるとかいうシーンなんかであったっけ。

        親コメント
        • by Anonymous Coward on 2018年06月04日 15時27分 (#3419154)

          >怪我するかして登録した指紋が使えなくなると認証OUT?
          星新一のショートショートであったな。

          親コメント
        • by Anonymous Coward

          >#無理やり認証させるのに指だけ取ってくるとかいうシーンなんかであったっけ。

          こういう奴?

          「マレーシアで指紋認証を装備したベンツが強盗に遭い,運転者の指が切り取られて車を奪われる事件が発生していたそうだ。」
          https://srad.jp/story/05/04/05/1325210/ [srad.jp]

      • by Anonymous Coward

        親指はパパ認証
        人差し指はママ認証
        中指は兄さん認証
        薬指は姉さん認証
        小指は赤ちゃん認証

    • by Anonymous Coward

      指が荒れていると、時間が経つにつれ認識率が下がる。
      なので荒れてない関節部分を複数回登録している。
      といっても関節で触れないのもあるので、だめなものはだめ。

    • by Anonymous Coward

      最後にスワイプする形の確認ボタン置けばいいだけなんじゃね?
      たいした手間じゃないんだし、勝手に課金されるリスクと比べればユーザーも許容できると思うがなぁ。

  • by Anonymous Coward on 2018年06月04日 15時08分 (#3419142)

    Apple PayはアプリインストールしなくてもWebでも使えるようになってる。
    なので、アプリインストールは要件にはならない。けど、サブスクリプションは無理かも。

    アプリ内課金あまりしないけど、
    確か、指紋認証の前か後かにダイアログで「本当に買う?」って聞いてきた気がするけど、どうだったかな。

  • by Anonymous Coward on 2018年06月04日 15時11分 (#3419143)

    ストーリーの
    >指紋認証画面を閉じようとしてホームボタンを押し、
    というのはどこから?
    元記事には
    >スクリーンショットを撮るためにホームボタンに触れたところ、
    と書いてあるが。

    あと指紋認証せずに指紋認証画面を閉じる手段は当然別にあるんだよね?
    もし無かったら欠陥だよね?
    #iPhone系は全く使ったことがないので知らない。

    • by Anonymous Coward on 2018年06月04日 15時28分 (#3419155)

      指紋認証画面に表示されているキャンセルボタンを押すのが正しいやり方。
      ホームボタン押下は本来アプリを閉じてホーム画面に戻るための手段だが、それを間違って押してしまうことがあるというのが問題。
      きちんと深押しすれば指紋認証が通る前にアプリ閉じの指示の方が優先され、課金されずにアプリを落とすことが出来るのだが、十分に圧力を加えずに触ってしまうと指紋認証の方が通ってしまう。

      親コメント
    • by Anonymous Coward

      普通はダイアログを閉じようとしてホームボタンを押して閉じようとするところで認証が走る。

      リンク先のさらにリンク先の報告者は認証画面のスクリーンショットを取るために
      ホームボタンに触ったので認証が走ってしまった

      そら別の話よ

    • by Anonymous Coward

      爪で押す

    • by Anonymous Coward

      「ホーム」をAssistiveTouchに設定しておく。
      ホームボタンは壊れやすいんで。

  • by Anonymous Coward on 2018年06月04日 18時18分 (#3419258)

    認証系はすべて外してるおれ勝利

    • by Anonymous Coward

      なあに、画面上に残った指紋でパスワードはどうせバレるから心配すんな。

      • by Anonymous Coward

        まだ70年代のスパイ映画のセキュリティ侵入場面みたいの信じてる人いたんだ

    • by Anonymous Coward

      そして、フィッシングサイトにパスワード抜かれる、と

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...