Propust u iOS aplikacijama omogućava pozivanje brojeva bez dozvole korisnika

Mobilni telefoni, 27.08.2014, 08:03 AM

Propust u iOS aplikacijama omogućava pozivanje brojeva bez dozvole korisnika

Facebook će uskoro objaviti ažuriranje za svoju aplikaciju Messenger za iOS koje bi trebalo da ispravi propust zahvaljujući kome je moguće inicirati skupe pozive bez dozvole korisnika.

Propust koji je otkrio programer iz Kopenhagena Andrei Neculaesei može biti iskorišćen korišćenjem tel URL sheme.

Tel URL shema se koristi za pokretanje aplikacija na iOS uređajima i pozivanje naznačenih brojeva telefona. Kada korisnik klikne na telefonski link na web stranici, iOS prikazuje upozorenje tražeći od korisnika da potvrdi da zaista želi da pozove telefonski broj i započinje pozivanje ako korisnik prihvati. Kada korisnik otvori URL sa tel shemom u nativnoj aplikaciji, iOS ne prikazuje upozorenje i započinje pozivanje bez pitanja.

Nativna aplikacija može biti konfigurisana tako da prikazuje svoje upozorenje, ali na žalost mnogi programeri to ne rade. Neculaesei je proverio neke popularne aplikacije kao što su Facebook Messenger, Gmail, Google+, i otkrio da su sve tri podložne ovakvom napadu.

“Mnogi pogrešno pretpostavljaju da na linkove klikću samo korisnici”, kaže Neculaesei dodajući da je on koristio javascript da bi dokazao da za klik na link nije neophodan korisnik i da se broj može pozvati i bez toga da se korisnik o tome pita.

Neculaesei je testirao i Appleovu Facetime aplikaciju koja takođe ima tel URL shemu, koju napadač može iskoristiti da bi video lice, i eventualno otkrio lokaciju i identitet korisnika.

Neculaesei kaže da su verovatno mnoge iOS aplikacije podložne ovom napadu i da bi programeri aplikacija trebalo da ih konfigurišu tako da prikazuju upozorenja o pozivu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

ESET otkrio malver za špijunažu maskiran u aplikaciju Telegram

ESET otkrio malver za špijunažu maskiran u aplikaciju Telegram

Hakerska grupa koja je poznata po špijunaži ciljeva na Bliskom istoku ažurirala je svoj malver i distribuira ga preko lažnih verzija popularnih ap... Dalje

Aplikacije iz Google Play prodavnice inficiraju uređaje bankarskim malverom Cerberus

Aplikacije iz Google Play prodavnice inficiraju uređaje bankarskim malverom Cerberus

Zvanična prodavnica aplikacija za Android, Google Play, uglavnom se smatra sigurnim mestom za preuzimanje aplikacija. Povremeno se, doduše, zlonamer... Dalje

Google uklonio iz Play prodavnice 17 aplikacija zaraženih opasnim malverom Joker

Google uklonio iz Play prodavnice 17 aplikacija zaraženih opasnim malverom Joker

Google je uklonio 17 Android aplikacija iz Play prodavnice. Aplikacije, koje su primetili istraživači iz kompanije Zscaler, zaražene su malverom Jo... Dalje

Bag u aplikaciji Instagram pretvara vaš Android u uređaj za špijuniranje

Bag u aplikaciji Instagram pretvara vaš Android u uređaj za špijuniranje

Istraživači Check Pointa otkrili su detalje o ranjivosti u aplikaciji Instagram za Android koja bi mogla omogućiti udaljenim napadačima da preuzm... Dalje

Novi Android malver Alien krade lozinke za 226 aplikacija

Novi Android malver Alien krade lozinke za 226 aplikacija

Novi malver za Android zove se Alien. Otkrili su ga istraživači iz firme ThreatFabric a reč je o trojancu sa nizom funkcija koje mu omogućavaju k... Dalje