Многие приложения для iOS легко заставить совершать звонки без уведомления

16:06 22.08.2014 |   883



Злоумышленники могут воспользоваться такой возможностью, например, для звонков на платные номера.

Программист Андрей Некулесей нашел простой способ заставить мобильные приложения для iOS (в том числе Facebook Messenger, Apple Facetime, Gmail и Google+) без предупреждения звонить по заданному телефонному номеру.

Особенность обработки в системе iOS стандартной схемы универсального кода ресурса URI «tel» заключается в том, что по умолчанию при щелчке по ссылке, содержащей телефонный номер, обозначенный кодом tel, система запрашивает разрешение пользователя только в том случае, если ссылка была размещена на веб-странице, просматриваемой в браузере. При открытии ссылки tel внутри приложения система набирает номер, не спрашивая пользователя. Между тем, добавление к странице простого скрипта на языке Javascript позволяет сделать ссылку, открывающуюся автоматически при загрузке страницы. Если такую страницу открыть в приложении, не учитывающем данную особенность iOS, набор номера произойдет без уведомления пользователя. Злоумышленник мог бы воспользоваться такой возможностью, например, для звонков на платные номера. Как оказалось, некоторые популярные приложения допускают подобное. Представитель Facebook сказала, что в ближайшее время приложение будет исправлено.


Теги: Информационная безопасность iOS Facebook


На ту же тему: