O vulnerabilitate a fost descoperita in iOS care face iPhone pentru a efectua apeluri către numere arbitrare

Cercetător Colleen Mulliner găsit o vulnerabilitate în iOS care face iPhone-ul victimei de a apela un număr de telefon dat. Eșec asociate cu caracteristici de componenta WebView.

1

O vulnerabilitate a fost descoperita in iOS care face iPhone pentru a efectua apeluri către numere arbitrare

Expertul a decis să ia studiul de această problemă după recentul caz în Arizona. Apoi, adolescentul a dat telefon atac de urgență 911, a publicat din greșeală în contul său de Twitter un link către o pagină cu un JavaScript exploata.

Această problemă a fost descoperit în 2008 în browser-ul Safari, note de Xakep. Acesta a fost reparat cu lansarea iOS 3.0. O variantă nouă de vulnerabilitate, potrivit Mulliner, care lucrează prin analogie cu cele anterioare, dar aceasta afectează aplicații, cum ar fi Twitter, LinkedIn, Facebook, Buzunar și altele.

2

Problema apare din modul în care cadrul se ocupă de WebView link-uri la numere de telefon încorporat în paginile site-ului, care este, TEL URI de formă tel:< număr de telefon >. Atunci când utilizatorul face clic pe un astfel de link, WebView face automat un apel de la un număr specificat. Problema este că, dacă atacatorul a ademenit victima la o pagină care folosește meta-refresh pentru a reîncărca cu un nou URL-ul și punctul de la un TEL URI, telefonul va apela automat un număr specificat.

3

Problema este că, făcând clic pe link-ul, utilizatorul nu poate chiar anula apelul, pentru că în acest moment, sistemul de OPERARE deschide o altă aplicație și UI „se blochează”. În plus, lansarea a doua cerere să exploateze exact definite exportate cercetător implementat modul cel mai simplu: este necesar doar să alunece victima un URL care va forța sistemul de OPERARE să lanseze o altă aplicație.

Cercetătorul a fost capabil de a reproduce atac pe Twitter și LinkedIn, dar el este convins că eșecul este relevantă pentru multe alte aplicații.

(Visited 21 times, 1 visits today)

De asemenea, ai putea dori...

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *