Propust u iOS aplikacijama omogućava pozivanje brojeva bez dozvole korisnika

Mobilni telefoni, 27.08.2014, 08:03 AM

Propust u iOS aplikacijama omogućava pozivanje brojeva bez dozvole korisnika

Facebook će uskoro objaviti ažuriranje za svoju aplikaciju Messenger za iOS koje bi trebalo da ispravi propust zahvaljujući kome je moguće inicirati skupe pozive bez dozvole korisnika.

Propust koji je otkrio programer iz Kopenhagena Andrei Neculaesei može biti iskorišćen korišćenjem tel URL sheme.

Tel URL shema se koristi za pokretanje aplikacija na iOS uređajima i pozivanje naznačenih brojeva telefona. Kada korisnik klikne na telefonski link na web stranici, iOS prikazuje upozorenje tražeći od korisnika da potvrdi da zaista želi da pozove telefonski broj i započinje pozivanje ako korisnik prihvati. Kada korisnik otvori URL sa tel shemom u nativnoj aplikaciji, iOS ne prikazuje upozorenje i započinje pozivanje bez pitanja.

Nativna aplikacija može biti konfigurisana tako da prikazuje svoje upozorenje, ali na žalost mnogi programeri to ne rade. Neculaesei je proverio neke popularne aplikacije kao što su Facebook Messenger, Gmail, Google+, i otkrio da su sve tri podložne ovakvom napadu.

“Mnogi pogrešno pretpostavljaju da na linkove klikću samo korisnici”, kaže Neculaesei dodajući da je on koristio javascript da bi dokazao da za klik na link nije neophodan korisnik i da se broj može pozvati i bez toga da se korisnik o tome pita.

Neculaesei je testirao i Appleovu Facetime aplikaciju koja takođe ima tel URL shemu, koju napadač može iskoristiti da bi video lice, i eventualno otkrio lokaciju i identitet korisnika.

Neculaesei kaže da su verovatno mnoge iOS aplikacije podložne ovom napadu i da bi programeri aplikacija trebalo da ih konfigurišu tako da prikazuju upozorenja o pozivu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi bankarski trojanac za Android zove se Cerberus, a njegov autor ga otvoreno reklamira na Twitteru

Novi bankarski trojanac za Android zove se Cerberus, a njegov autor ga otvoreno reklamira na Twitteru

Nakon što je nekoliko popularnih trojanaca za Android kao što su Anubis, Red Alert 2.0, GM bot i Exobot, nestalo sa scene, pojavio se novi igrač sa... Dalje

Korisnici Androida sada se mogu prijaviti na Google nalog pomoću otiska prsta

Korisnici Androida sada se mogu prijaviti na Google nalog pomoću otiska prsta

Ako koristite Chrome na Androidu, sada se možete prijaviti na svoj Google nalog i neke druge Googleove servise korišćenjem otiska prsta umesto loz... Dalje

Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Istraživači firme Doctor Web pronašli su trojanca koji je u paketu sa 33 aplikacije distribuiran preko Google Play prodavnice. Aplikacije sa trojan... Dalje

WhatsApp ima sigurnosne greške koje omogućavaju da neko zlonameran promeni vaše odgovore na poruke

WhatsApp ima sigurnosne greške koje omogućavaju da neko zlonameran promeni vaše odgovore na poruke

Istraživači Check Pointa otkrili su sigurnosne greške u WhatsAppu, Facebookovoj aplikaciji koja ima više od milijardu i po korisnika iz celog svet... Dalje

Huawei bi već ove nedelje mogao da predstavi svoju alternativu Androidu

Huawei bi već ove nedelje mogao da predstavi svoju alternativu Androidu

Kako izveštava Global Times, Huawei se sprema da objavi svoju alternativu Androidu. Kineski tehnološki gigant je ranije ove godine započeo razvoj i... Dalje