Apple a encore laissé passer une app qui tente d’arnaquer l’utilisateur

Mickaël Bazoge |

Les applications peu scrupuleuses qui tentent de soutirer un abonnement ou un achat intégré à l’utilisateur distrait sont malheureusement trop nombreuses. Apple a commencé à faire le ménage, mais certaines apps sont toujours en ligne avec leurs pratiques de voyous.

C’est le cas de Medição da Frequência Cardíaca (littéralement « mesure de la fréquence cardiaque »), une app qui propose de lire le pouls de l’utilisateur. Une fois l’application lancée, elle indique son mode de fonctionnement, c’est à dire poser le doigt sur le bouton d’accueil de l’iPhone.

Durant quelques secondes, l’app affiche une fréquence cardiaque bidon1, puis elle active la procédure d’achat intégré, tout en abaissant au maximum la luminosité de l’écran. L’utilisateur qui aura laissé trop longtemps son doigt sur le bouton aura validé l’achat… soit 89,99 $.

L’escroquerie concernera moins les possesseurs d’iPhone dotés de Face ID, puisqu’il faut d’abord cliquer deux fois sur le bouton latéral pour valider l’achat. Par ailleurs, il semble qu’en choisissant au lancement de l’app la version en portugais, on évite l’arnaque.

La publicité négative faite autour de cette application va, espérons-le, pousser Apple à la supprimer rapidement de l’App Store. Mais sa présence au sein de la boutique montre qu’il existe décidément un problème sérieux avec ces apps-arnaque qui décrédibilisent le discours du constructeur sur la sécurité de son magasin.


  1. La lecture de la fréquence cardiaque est possible non pas en posant le doigt sur le bouton d’accueil, mais sur l’appareil photo au dos de l’appareil. La version en portugais de l’application utilise cette méthode (toutefois, la mesure du pouls semble tout aussi fantaisiste). ↩︎

Tags
avatar Sacha12 | 

Ça y est apple l’a viré, au moment de la télécharger le message suivant s’affiche : this item is no longer available en gros plus dispo ! Enfin 🤙

avatar iVador | 

Honteux.

avatar charlie105 | 

Faut reconnaître que c’est malin!

avatar MrMeteo | 

@charlie105

Parfaitement ! Sacrément rusé !

avatar SyMich | 

C'est malin mais ce n'est pas la 1ère fois que ce procédé est utilisé.
Il y a quelques mois c'est une app "LifeLine" qui prétendait lire l'avenir non pas dans les lignes de la main, mais dans les circonvolutions de l'empreinte digitale...
De la même façon il fallait poser son pouce sur le bouton home et attendre. Une animation a l'écran s'affichait, la luminosité baissait (pendant que le panneau d'achat intégré s'affichait rapidement), puis un pseudo horoscope apparaissait.
Peut-être était-ce le même développeur, difficile de le savoir.
Apple avait réagit assez vite pour la supprimer mais il est anormal que ce genre d'application puisse passer les étapes de validation !!! D'autres arnaques utilisant le même procédé vont apparaître, c'est sûr!
Ces escrocs utilisent le caractère rassurant de l'AppStore pour tromper la vigilance des utilisateurs qui considèrent qu'il n'y a aucune raison de se méfier d'une application validée et mise en vente par Apple. Ils vont continuer inlassablement c'est évident! Et même si à chaque fois l'app ne reste que quelques jours en ligne, c'est suffisant pour engranger des dollars avant d'être banni et revenir sous un autre nom avec une app différente (ou pas d'ailleurs... on voit certains malwares supprimé par Apple, réapparaître à l'identique en ayant juste changé le nom)

avatar frankm | 

@charlie105

Et que Apple ne teste même pas les apps avant de les mettre en ligne. C’est rassurant

avatar bidibout | 

Du coup c'est peut-être plus prudent de désactiver TouchID pour les achats non ?

avatar roccoyop | 

@bidibout

Le plus prudent c’est de ne plus toucher à son iPhone/iPad.

avatar zoubi2 | 

@roccoyop

:-)

avatar pao2 | 

Il faut non plus pas être trop malin pour croire que le bouton home est capable de mesurer la fréquence cardiaque!

avatar Sacha12 | 

@pao2

J’y aurais cru, ça peut paraitre logique pour des personne n’y connaissant pas tellement, vaut mieux passer sur face ID pour éviter ces problèmes 😉

avatar popeye1 | 

@Sacha12

Tant que Face ID n’est utilisé comme validation de la supercherie.

avatar SyMich | 

Apple y a cru puisqu'ils ont validé l'app... alors un utilisateur lambda faisant confiance à Apple en achetant une app sur le store d'Apple peut parfaitement penser que c'est possible!

avatar pao2 | 

Je doute qu'Apple exécute chaque programme et qu'un opérateur appuye sur les boutons ... je pense plutôt que la vérification se fait par étude du code en bonne partie automatiquement.
Il serait intéressant que igeneration fasse un sujet (si ce n'est pas déjà fait) sur le comment Apple vérifie et contrôle les applications.

avatar SyMich | 

Peu importe comment ils vérifient, mais les règles du store stipulent qu'une app ne faisant pas ce qu'elle pretend faire ne peut pas être validée. Et pourtant Apple en laisse régulièrement passer.

avatar NestorK | 

@SyMich

Justement, non. Ca importe de savoir comment ils vérifient, parce que ça explique bien évidemment comment de telles apps peuvent passer.

Comme le souligne justement Pao, il y a forcément une part d’automatisme, ce qui explique ce genre de bourde. On se doute qu’ils ne peuvent pas humainement tout vérifier car sinon les files d’attente pour la publication serait indécente...

avatar Bigdidou | 

@NestorK

« On se doute qu’ils ne peuvent pas humainement tout vérifier car sinon les files d’attente pour la publication serait indécente... »

Les mises à jour, soit.
Mais les nouvelles apps, il y a pas systématiquement une phase de contrôle par quelqu’un avec des bras, des jambes et une tête ?

avatar popeye1 | 

@pao2

Est-ce qu’Apple vendant des applications dites sécurisées et prélevant sa dîme au passage n’est pas juridiquement responsable, du moins en partie, du vol ?

avatar SyMich | 

Bien sûr qu'Apple est responsable d'autant que c'est bien à Apple qu'on achète l'app, pas au développeur-arnaqueur.
D'ailleurs Apple ne discute pas quand on demande le remboursement.

avatar bidibout | 

Perso c'est systématiquement le code, j'ai désactivé TouchID pour les achats pour éviter les "erreurs".

avatar Mathieu_rc | 

@bidibout

Si tu fais une erreur tu peux être remboursé sous 14 jours

avatar byte_order | 

Faut-il encore avoir conscience d'avoir fait une erreur.
Ici, avoir conscience d'avoir valider l'achat in-app.

avatar Mathieu_rc | 

@byte_order

Je ne suis pas sûr que l’on parle du même type d’erreur mais l’homme est responsable de ses actes et il doit de ce fait en prendre conscience, par exemple si on casse quelque chose qui ne nous appartient on peut soit ne rien faire et ignorer celui à qui appartenait l’objet, ou alors le dédommager ce qui est une prise de responsabilités,

J’ai l’impression de mettre bien écarté du sujet

avatar rvassard64 | 

Oui, comme le Dr Antivirus de Trend Micro ! En bien d’autres encore...
Ça la fout vraiment mal pour un App Store dont l’intérêt principal est la sécurité !

avatar bibi81 | 

Ça la fout vraiment mal pour un App Store dont l’intérêt principal est la sécurité !

T'inquiètes pas tu peux être certain qu'une application qui affiche/contient le mot Android sera bien recalée à l'étape de validation.

avatar anton96 | 

Ça me rappelle que j’ai failli valider par accident un achat intégré en voulant quitter un app une fois .

avatar Mathieu_rc | 

@anton96

Tu te serais alors fait remboursé

avatar Jojojo22 | 

@anton96

Pareil

avatar fredsoo | 

Putains de lutins!

avatar byte_order | 

> Mais sa présence au sein de la boutique montre qu’il existe décidément un problème sérieux
> avec ces apps-arnaque qui décrédibilisent le discours du constructeur sur la sécurité de
> son magasin.

Cela montre aussi que en fonction de l'(in)attention de l'utilisateur lambda, l'apparence facilité de sécurisation via ouchID n'est pas toujours gage de sécurité pour lui, malgré les gros discours marketing vantant tous les avantages et autres arguments +20000x plus "secure" de la biométrie.

avatar geooooooooffrey | 

En fait on peut voir les fonctions biométriques comme un contre-sens.
Jusque là, il fallait un identifiant et un mot de passe, respectivement pour savoir qui on est et si on a le droit de faire telle action.
Or TouchID et FaceID disent qui veut effectuer cette action, ou plutôt disent s'ils reconnaissent la personne, si oui ils laissent l'action s'effectuer... Et où est passée l'étape de l'autorisation ?

Il y a une sorte de confusion entre identification et authentification. On en a clairement l'exemple ici, où TouchID laisse l'arnaque se faire, il a reconnu le proprio de l'iPhone, et c'est tout. (Ceci dit j'utilise TouchID pour son aspect pratique, comme tout le monde)

Sinon moi j'ai carrément bloqué les achats intégrés, problème réglé. J'ai jamais rien payé via une app, et j'ai survécu jusqu'à présent 🤓

avatar mryonce | 

Dans tout les cas vous pouvez faire annuler la transaction si vous achetez par accident avec Touch ID !! Un coup de fil et c’est remboursé

avatar Sacha12 | 

@mryonce

Même pas besoin du coup de fil, j’ai acheté il y a quelques semaines l’appli Halide pour les photos, pas satisfait et + d’un mois après j’ai été dans mon historique d’achats et j’ai demandé le remboursement et en 2 secondes c’était pris en compte et quelques jours après j’ai été remboursé ! Rien de plus simple et de plus souple qu’apple sur ce coup là.

avatar Mathieu_rc | 

@Sacha12

Enfin quelqu’un de cultivé sur la sécurité des achats chez Apple

avatar byte_order | 

@Sacha12

Faut-il encore avoir conscience d'avoir fait cet achat in-app et donc d'avoir l'idée (ou le rituel) d'aller consulter l'historique des achats...

avatar chtiblues | 

Bonne idée, mais étonnant que cela soit passé par la validation Apple, même si c'est en partie logiciel algorithme et IA. Un achat intégré de plus de 80€ dans une App surement gratuite, il doit y avoir des vérifications plus poussées à faire en impliquant le facteur humain pour savoir à quoi cet achat correspond.

Un développeur qui épargne les portugais de son arnaque, ça semble intentionnel vu que dans cette version, c'est la caméra qui est utilisé pour soit disant mesurer la fréquence cardiaque et non le Touch iD. Veut-il épargner ses concitoyens ou tromper la validation de l'App Store en proposant la version portugaise par défaut pour validation ? Je sais pas si c'est possible mais vu le nom de l'App, ça peut venir d'un portugais qui propose son App à la validation dans sa langue.

avatar osxkiller92 | 

Il semble que l’app ait finalement été retirée de l’AppStore, une recherche étant infructueuse et le lien donné restant sur un écran vide. À confirmer mais je pense que la réaction ait été rapide.

avatar SyMich | 

Elle réapparaîtra probablement dans quelques jours ou semaines sous un autre nom et soumise par un "autre" développeur et elle sera à nouveau validée.
Même en ne restant en ligne que quelques jours, ça permet de tromper suffisamment de monde pour engranger à chaque fois un paquet de dollars.

avatar xana | 

A vouloir toujours payer plus facilement se genre d’arnaque finir par arrivé il devrait avoir une pop-up de apple pour dire " confirmé l’achat de se produit" avec un gros bouton NON et un petit OUI un peut comme avec le réveil

avatar bibi81 | 

Apple devrait surtout faire correctement son travail...

avatar Clément34000 | 

Il faudrait qu’Apple rappelle le but unique du Touch ID dans une ou deux pubs, ça limiterait déjà beaucoup l’usage inapproprié que peuvent faire des personnes pas suffisamment informées

avatar anonx | 

Et il y avait aucun commentaire dans les avis??

Les gens ne lisent pas (survolent) les commentaires avant de dL ? 🙄

avatar Kelbogamin | 

Les règles de validation de l’Apple store sont à géométrie variable...
Un peu comme hobby j’ai appris à développer sur iOS et j’avais soumis une app qui permettait de calculer le taux d’alcool dans le sang en fonction de ce qu’on a vu et de l’heure.
Refus catégorique alors que des app qui font exactement la même chose existent déjà. Et quand on contacte les valideurs on se retrouve devant des gars butés qui ne veulent rien entendre...

avatar webHAL1 | 

@Kelbogamin
« [...] j’avais soumis une app qui permettait de calculer le taux d’alcool dans le sang en fonction de ce qu’on a vu et de l’heure. »

Donc si on avait regardé sur YouTube beaucoup de vidéos en lien avec l'alcool, ton application le détectait et nous informait que notre taux d'alcoolémie était élevé ?! 🤔

avatar Bigdidou | 

@Kelbogamin

« calculer le taux d’alcool dans le sang en fonction de ce qu’on a vu et de l’heure. »

Genre si tu as vu un éléphant rose il y a une heure, tu as deux grammes ?

Le refus d’Apple n’est probablement pas lié à l’objet de ton app, mais à des raisons réglementaires ou techniques, non ?
C’est sur que si tu parles de calcul d’alcoolémie au lieu d’estimation, ça peut pas le faire...

avatar SyMich | 

Sait-on si Apple a prévenu par e-mail ceux qui ont téléchargé cette app pour les alerter de l'arnaque?

Lorsque la première app de ce type "LifeLine" avait été retirée du store, il y avait eu une polémique liée au fait qu'Apple n'avait rien fait pour alerter les utilisateurs ni même bloquer les achats in-app de l'app en question (une fois l'arnaque identifiée et l'app retirée du store).
Il serait bienvenu que cette fois Apple soit un peu plus soucieuse de ses clients en leur évitant de continuer à se faire arnaquer.

CONNEXION UTILISATEUR