Zavřít reklamu

V iOS byla objevena další bezpečnostní mezera. Kvůli ní by uživatelé neměli klikat na neznámé odkazy. Bezpečnostní výzkumník objevil v iOS WebView chybu, která umožní útočníkovi „donutit“ iPhone k vytočení jakéhokoliv čísla a uzamčení rozhraní telefonu, takže odchozí volání nemůže být zrušeno.

Problém byl objeven Collinem Mullinerem, který přišel například na obdobnou chybu v prohlížeči Safari v roce 2008. Ta byla napravena v iOS 3. Mulliner se rozhodl zapátrat po chybě poté, co se dočetl o teenagerovi, který byl zatčen, když nechtěným voláním zaplavil linku 911 ve Spojených státech amerických. Chyba se mírně liší od té, která se objevila v roce 2008, ale Mulliner věří, že odhalil, jak funguje.

Bug se spustí poté, co majitel iPhonu klikne na škodlivý odkaz v aplikacích jako Twitter nebo LinkedIn, které využívají iOS WebView k otevírání stránek uvnitř aplikací namísto klasických prohlížečů, jako je Safari nebo Chrome. Odkaz přivede uživatelel na stránku, která iPhone „donutí“ vytočit vložené číslo. Stránka se načte opakovaně a zařízení „zamrzne“, takže uživatel nemá šanci hovor přerušit. Důvodem, proč je iPhone přinucen vytočit dané číslo, je právě otevření stránky přes WebView, která automaticky vytáčí vložená telefonní čísla. Webový prohlížeč Safari tomuto problému předchází tím, že se před vytočením vloženého čísla uživatele nejprve dotáže, zda chce volat.

Kromě tísňové linky 911 jsou v této chybě využívány i placené a nákladné linky, díky čemuž si útočníci mohou snadno vydělat. Mulliner přišel také s teorií, že chyby mohou využít i technicky zdatní stalkeři, kteří by tímto způsobem mohli získat telefonní číslo oběti. Mulliner již ohledně chyby pochopitelně kontaktoval nejen společnost Apple, ale i LinkedIn a Twitter.

iPhone call FB

Zdroj: Techradar.com

Témata: , ,

Související články

Dnes nejčtenější