iOS

Новая уязвимость в iOS заставляет iPhone звонить на произвольные номера

Специалист по информационной безопасности Коллин Маллинер обнаружил в iOS актуальной версии весьма опасную уязвимость, использование которой злоумышленником заставит iPhone звонить на произвольные номера. Данная «дыра» в безопасности связана с особенностями работы компонента WebView, и обнаружена была после недавнего инцидента в США. Тогда, опубликовав в социальной сети ссылку на страницу с JavaScript-экcплоитом, подросток произвёл телефонную атаку на службу спасения.

sdsd-2-768x467

На самом деле, специалисты знали о чём-то подобном уже очень давно: проблема впервые была обнаружена еще в 2008 году. Но тогда, с выходом iOS 3.0, она была благополучно исправлена — чтобы снова «всплыть» только теперь. Коллин Маллинер поясняет, что новая уязвимость в целом совершенно аналогична старой, и опасна для целого ряда приложений, включая Twitter, LinkedIn, Facebook и Pocket.

Когда пользователь нажимает на ссылку, размещённую хакером, то уже не может отменить звонок, так как в этот момент операционная система открывает другое приложение. Всё это происходит потому, что WebView обрабатывает телефонные номера, встроенные в веб-страницы. После активации такой ссылки, WebView автоматически совершает звонок на содержащийся в ней номер. Если созданная хакером страница, на которую тем или иным путём попал пользователь, использует тег meta-refresh для перезагрузки, телефон будет звонить автоматически.

Выглядит это примерно так:

Пока трудно сказать, когда проблема будет устранена.

Обсудить

Ваш e-mail не будет опубликован. Обязательные поля помечены *