Facebook 可以修复漏洞,可以强迫iPhone拨打电话

Facebook 将要 很快就会向其IOS Messenger应用程序推出更新,该应用程序将修补漏洞,可能允许攻击者从用户放置Pricy呼叫’手机简单地让它们单击Web链接。

最近缺陷 发现 来自哥本哈根的开发人员andrei neculaesei,并且可以通过使用触发 电话 URL方案。

“The 电话 URL方案用于在IOS设备上启动手机应用程序并启动指定电话号码的拨号,”它在Apple文件中解释。

“当用户在网页中提供电话链接时,iOS显示警报询问用户是否真的想要拨打电话号码并启动拨号,如果用户接受。当用户在本机应用程序中使用电话方案打开URL时,iOS不会显示警报并启动拨号,而不会进一步提示用户。”

Neculaesei说,可以将原生应用程序配置为显示自己的警报,但不幸的是许多开发人员都没有。他在那里检查了一些流行的iOS应用程序–Facebook Messenger,Gmail,Google+– and all three didn’T做出必要的变化,并且易受Neculaesei设计的概念验证攻击。

“很多人都会制作诸如用户只点击链接等假设,”他指出,但他使用了JavaScript来使链接单击自身,并且立即建立一个呼叫,而无需提出的用户。

他还测试了苹果’S Facetime App,显然有一个URL方案就像 电话 ,并且可以被攻击者使用来看看面部,并可能发现目标的位置和身份。

neculaesei说,那里有很多ios应用程序允许这种类型的攻击,并且其开发人员应该配置有问题的警报。

本月早些时候通过信息安全顾问Guillaume Ross在他的情况下出现了这个问题 讲话 在BSIDELV 2014。

分享这个