近日，一款在AppleStore应用市场上的 “Heart Rate Measurement”心率测试APP被发现诱骗用户付费，以测量心率的借口来诱导用户使用Apple Pay的唤出确认方式，最高可一次骗走90美元，约600多人民币。

那用户的钱是怎样一步一步被骗走的呢？

用户若想启用iPhone X 上的Apple Pay，需要先按两下手机右侧边按钮（启用 Apple Pay 的双击设置应该在默认情况下启用），打开默认的 Apple Pay 支付界面，并使用 Face ID 进行身份验证，完成付款。

Apple Pay操作视频如下：

这款APP正是利用iPhone X手势启动Apple Pay这一特点，声称用户需要通过侧边按钮来测量心率，而实际上，按侧边按钮并不能实现心率感应，实际上是为了让用户唤出ApplePay并进行内购确认。

该应用利用了苹果程序内购的特点进行诱骗，被发现后，目前已被下架。但是这个新的应用欺骗手段反应了苹果审核机制的不足，值得警惕，希望用户提高安全意识，小心骗局。

HeartRate Measurement 心率测试APP正是准确地把握了Apple Pay 在iphone X上的操作特点，以及人们对身体健康的关注，才设计出了这款有相当成功率的恶意软件。

从iPhone X来看：

iPhone X一经上市，就面临不少国际知名媒体的轰炸：“销量差”、“令人失望”、“贵是原罪”。然而，尽管如此，无论是苹果官方新发布的财报，还是 IDC、Strategy Analytics 等专业调研机构的数据，均显示 iPhone X 是今年（2018）第一季度最卖座的手机，即使定价999美元，依然成为了该季度销量最高的智能手机。

如果此款恶意APP就是专门针对iPhone X的用户，那么用户量并不会小，由此可预见入坑用户也会有相当数量。

从Apple Pay来看：

研究机构Juniper Research 的报告估计，到了 2020 年，Apple Pay 将会占全球流动钱包市场的 50%。到2020 年，全球会有 4.5 亿名流动钱包用户，其中2.25 亿为 Apple Pay 用户。

目前，Apple Pay已经可应用于很多场景，包括商场、超市、餐厅等和人们生活密切相关的场景，数百万家商家以及海量的App和网页都支持使用Apple Pay。

如此大的使用流量，也使得Apple Pay被这款心率测量恶意软件盯住。

可预见的是，将会有更多的黑客会把目光聚焦到Apple Pay上，这需要苹果在支付上设计实施更严格的审核机制来保障用户的安全。

从心率测量来看：

人们对死亡的恐惧，对健康的重视是一个恒久的主题。

世界卫生组织在2017年称：心血管疾病是全球的头号死因，每年死于心血管疾病的人数多于任何其它死因。

图片来自：ourworldindata | 心血管疾病死亡率（每100,000人）

2016年心血管疾病的年齡标准化死亡率，以每两万名男性和女性的死亡人数衡量。

事实上，在国内我们也能发现，可穿戴设备越来越流行，从苹果手环到小米手环，“心率测量”也成为了可穿戴设备的标配。

如此看来，恶意软件Heart Rate Measurement的设计者可谓煞费苦心了。

但最终为此番苦心买单的还是缺乏足够安全意识的用户自己。

对于用户而言，应该提高自己的安全意识，尤其在涉及支付环节的时候，更加需要谨慎。无论是条款内容的同意签署，抑或支付操作手段，都需要更加慎重。

参考来源：

• cnBeta.COM

• ourworldindata

• who.int

• 9to5mac

• 网易科技

往期热门资讯：                                        

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com