iOS @AppleiOS AppsiOS NewsiPhoneWhat's New

O noua vulnerabilitate iOS permite efectuarea de apeluri catre numere cu suprataxa fara acordul utilizatorilor

Recent a fost descoperita o noua vulnerabilitate pe dispozitivele iPhone care permite declansarea de apeluri catre numere cu suprataxa fara stirea utilizatorilor prin intermediul anumitor aplicatii iOS.

Din cate se pare, aceasta vulnerabilitate poate exploata schemele URI (Uniforme Resource Identifier) pentru a efectua apeluri catre diverse numere de mobil. De cele mai multe ori, numerele de telefon sunt afisate sub forma de link-uri pe dispozitivele mobile in diverse contexte: mesaje SMS, conversatii IM sau e-mailuri. Aceasta modalitatea de afisare reprezinta o descriere URI care spune dispozitivului unde poate gasi sau cum poate folosi anumite informatii: de exemplu, cand se da tap/click pe o adresa de e-mail afisata sub forma de link, o aplicatie pentru e-mail este lansata pentru a facilita trimiterea unui mesaj catre adresa respectiva. Acelasi lucru este valabil si pentru numerele de telefon.

facebook-messenger

Cand un utilizator iPhone da click pe un numar de telefon afisat sub forma de link in Safari, browser-ul mobil afiseaza un pop-up care intreaba utilizatorul daca este sigur ca doreste sa efectueze un apel catre numarul respectiv. Din pacate nu acesta este cazul pentru alte aplicatii native iOS (de exemplu Facetime, Facebook Messenger, Gmail sau Google+), folosite in mod asiduu de catre utilizatorii iPhone (desi aceste aplicatii dispun de optiunea de a afisa un mesaj de avertizare pentru astfel de situatii, in mod default acesta este dezactivata). Astfel, daca un utilizator da din greseala tap pe un numar de telefon primit intr-un e-mail sau un mesaj Facebook/ Google+, acesta poate efectua un apel telefonic catre numarul respectiv fara sa fie constient de acest lucru. Folosind aceasta vulnerabilitate, persoane rau-intentionate pot crea scripturi care pot cauza efectuarea de apeluri telefonice nedetectate prin simpla vizualizare a unui numar de telefon (developer-ul care a descoperit aceasta vulnerabilitate, Andrei Niculaesei, a facut o astfel de demonstratie pe blogul personal, aratand cum un link malicios trimis prin Facebook Messenger lanseaza un apel catre un numar de telefon la simpla vizualizare a link-ului respectiv).

Momentan, vulnerabilitatea (efectuarea de apeluri telefonice fara avertizare) a fost identificata doar pe aplicatii populare, insa nu este exclus ca aceasta sa existe pe multe alte aplicatii iOS. Facebook a fost singurul developer care a declarat imediat dupa descoperirea vulnerabilitatii ca va lansa cat de curand un update pentru Messenger care sa rezolve aceasta problema. Nici Apple si nici ceilalti developeri ai aplicatiilor care contin acest exploit nu au facut declaratii cu privire la acest lucru pana in prezent.

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button