iPhone может звонить без вашего ведома на любые номера из-за этой уязвимости

Как часто случается ситуация, когда пользователь открывает ссылку, присланную другом в Facebook, Google+ или Gmail, а затем занимается другими делами, не дождавшись ее полной загрузки? В масштабах планеты — как минимум нередко, а это серьезный повод задуматься о следующей проблеме.iPhone

Речь идет о ссылках "tel", позволяющих совершать звонки прямо из браузера или посредством webView любого приложения. Дело в том, что штатный web-обозреватель Safari не позволяет программе переходить непосредственно к набору номера, пока пользователь не подтвердит действие в специальном всплывающем окне. Однако для сторонних приложений такая защитная функция не предусмотрена. Автор, обнаруживший данную уязвимость, отмечает, что этот нюанс подробно описывается в технической документации Apple, а значит компания фактически снимает с себя всю ответственность за возможные последствия.

When a user taps a telephone link in a webpage, iOS displays an alert asking if the user really wants to dial the phone number and initiates dialing if the user accepts. When a user opens a URL with the tel scheme in a native app, iOS does not display an alert and initiates dialing without further prompting the user.

Проблема заключается в том, что даже такие сервисы как Facebook Messanger, Google+ и Gmail (не говоря о более мелких компаниях) не сочли нужным добавить собственное уведомление для подтверждения действия при обработке ссылок "tel". Впрочем, до этого момента все смотрится более-менее безобидно — вы кликаете по ссылке, переходите на страницу, которая, в свою очередь, содержит ссылку "tel", и только после клика на нее начинается набор номера. Однако при помощи нехитрого Java-скрипта, автор публикации создал страницу с "самокликающейся" ссылкой, то есть, фактически реализовал прямой редирект — кликаете ссылку в сообщении и визуально ваш iPhone сразу же переходит к набору номера. Выглядит это следующим образом:
iPhone

Насколько опасна такая уязвимость? В теории — весьма и весьма, при помощи платных номеров и объемной базы взломанных аккаунтов (которую в наше время приобрести вовсе несложно) злоумышленники смогли бы заработать миллионы долларов, получая прибыль с каждого зазевавшегося пользователя. Иное дело, что скрыть финансовые следы такой аферы в крупных масштабах довольно сложно, что, скорее всего, до сих пор и сдерживало любителей не совсем честного интернет-заработка.

Смотрите также:

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(0 голосов, в среднем: 0 из 5)
, . yablyk-news