이셋, 애플 터치ID 기능으로 무단 인앱 결제 진행하는 건강관리 앱 ‘주의’
건강관리 앱이 애플 터치 ID 기능을 이용해 iOS 사용자의 돈을 탈취하는 사례가 발견됐다.
이셋에 따르면 일부 건강관리 앱은 사용자가 지문을 스캔하는 동안 무단으로 인앱 결제가 일어나는 것으로 나타났다. 최근까지 애플 앱스토어에서 제공된 ‘피트니스 밸런스’, ‘칼로리 추적기’ 등의 악성 앱은 BMI를 계산하고, 일일 칼로리 섭취량을 추적해 사용자들이 더 많은 물을 마실 수 있도록 도와줬다.
사용자가 앱을 설치한 후 처음 실행할 때 앱에서 지문 스캔을 통해 ‘맞춤형 칼로리 추적기 및 다이어트 권장 사항보기’를 요청한다. 사용자가 요청을 받아 지문 스캐너에 손가락을 대면 99.99 달러, 119.99 달러, 혹은 139.99 유로 등을 지불할 것을 요청하는 창이 나타난다. 이 창은 1초만에 사라지며 사용자가 자신의 애플 계정에 연결시켜놓은 신용카드로 결제가 이뤄진다.
이셋은 이 두 앱을 동일한 개발자가 만들었을 것으로 보고 있다. 특히 이 앱은 악성 행위를 했는데도 평균 4.3점의 높은 평가로 별 5등급을 받았다. 이셋은 개발자들이 앱의 평판을 높이기 위해 가짜 리뷰 게시글을 썼다고 분석했다.
이셋 관계자는 “새로운 앱을 다운받을 때 부정적인 리뷰를 읽어 볼 것을 권장한다. 긍 인 피드백은 쉽게 위장되지만, 부정적인 리뷰는 앱의 본질을 더 많이 드러낸다. 다만 아이폰X 사용자는 ‘Double Click to Pay’라는 추가 기능을 활성화해 불법적인 결제를 막을 수 있을 것”이라고 설명했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
