Propust u iOS aplikacijama omogućava pozivanje brojeva bez dozvole korisnika

Mobilni telefoni, 27.08.2014, 08:03 AM

Propust u iOS aplikacijama omogućava pozivanje brojeva bez dozvole korisnika

Facebook će uskoro objaviti ažuriranje za svoju aplikaciju Messenger za iOS koje bi trebalo da ispravi propust zahvaljujući kome je moguće inicirati skupe pozive bez dozvole korisnika.

Propust koji je otkrio programer iz Kopenhagena Andrei Neculaesei može biti iskorišćen korišćenjem tel URL sheme.

Tel URL shema se koristi za pokretanje aplikacija na iOS uređajima i pozivanje naznačenih brojeva telefona. Kada korisnik klikne na telefonski link na web stranici, iOS prikazuje upozorenje tražeći od korisnika da potvrdi da zaista želi da pozove telefonski broj i započinje pozivanje ako korisnik prihvati. Kada korisnik otvori URL sa tel shemom u nativnoj aplikaciji, iOS ne prikazuje upozorenje i započinje pozivanje bez pitanja.

Nativna aplikacija može biti konfigurisana tako da prikazuje svoje upozorenje, ali na žalost mnogi programeri to ne rade. Neculaesei je proverio neke popularne aplikacije kao što su Facebook Messenger, Gmail, Google+, i otkrio da su sve tri podložne ovakvom napadu.

“Mnogi pogrešno pretpostavljaju da na linkove klikću samo korisnici”, kaže Neculaesei dodajući da je on koristio javascript da bi dokazao da za klik na link nije neophodan korisnik i da se broj može pozvati i bez toga da se korisnik o tome pita.

Neculaesei je testirao i Appleovu Facetime aplikaciju koja takođe ima tel URL shemu, koju napadač može iskoristiti da bi video lice, i eventualno otkrio lokaciju i identitet korisnika.

Neculaesei kaže da su verovatno mnoge iOS aplikacije podložne ovom napadu i da bi programeri aplikacija trebalo da ih konfigurišu tako da prikazuju upozorenja o pozivu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje

Signal uveo podršku za korisnička imena u aplikaciji

Signal uveo podršku za korisnička imena u aplikaciji

Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje