Propust u iOS aplikacijama omogućava pozivanje brojeva bez dozvole korisnika

Mobilni telefoni, 27.08.2014, 08:03 AM

Propust u iOS aplikacijama omogućava pozivanje brojeva bez dozvole korisnika

Facebook će uskoro objaviti ažuriranje za svoju aplikaciju Messenger za iOS koje bi trebalo da ispravi propust zahvaljujući kome je moguće inicirati skupe pozive bez dozvole korisnika.

Propust koji je otkrio programer iz Kopenhagena Andrei Neculaesei može biti iskorišćen korišćenjem tel URL sheme.

Tel URL shema se koristi za pokretanje aplikacija na iOS uređajima i pozivanje naznačenih brojeva telefona. Kada korisnik klikne na telefonski link na web stranici, iOS prikazuje upozorenje tražeći od korisnika da potvrdi da zaista želi da pozove telefonski broj i započinje pozivanje ako korisnik prihvati. Kada korisnik otvori URL sa tel shemom u nativnoj aplikaciji, iOS ne prikazuje upozorenje i započinje pozivanje bez pitanja.

Nativna aplikacija može biti konfigurisana tako da prikazuje svoje upozorenje, ali na žalost mnogi programeri to ne rade. Neculaesei je proverio neke popularne aplikacije kao što su Facebook Messenger, Gmail, Google+, i otkrio da su sve tri podložne ovakvom napadu.

“Mnogi pogrešno pretpostavljaju da na linkove klikću samo korisnici”, kaže Neculaesei dodajući da je on koristio javascript da bi dokazao da za klik na link nije neophodan korisnik i da se broj može pozvati i bez toga da se korisnik o tome pita.

Neculaesei je testirao i Appleovu Facetime aplikaciju koja takođe ima tel URL shemu, koju napadač može iskoristiti da bi video lice, i eventualno otkrio lokaciju i identitet korisnika.

Neculaesei kaže da su verovatno mnoge iOS aplikacije podložne ovom napadu i da bi programeri aplikacija trebalo da ih konfigurišu tako da prikazuju upozorenja o pozivu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažne aplikacije na Google Play i Apple App Store: žrtve investiraju a onda ostaju bez ičega

Lažne aplikacije na Google Play i Apple App Store: žrtve investiraju a onda ostaju bez ičega

Analitičari kompanije Group-IB su upozorili na lažne platforme za trgovanje koje se pojavljuju u prodavnicama aplikacija. Ove aplikacije ne sadrže ... Dalje

Lažna aplikacija na Google Play krade kriptovalutu

Lažna aplikacija na Google Play krade kriptovalutu

Istraživači Check Point Research (CPR) tima su otkrili malver skriven u aplikaciji na Google Play. Ta aplikacija, WallConnect, imala je više od 10.... Dalje

Novi malver ugrožava korisnike mobilnog bankarstva

Novi malver ugrožava korisnike mobilnog bankarstva

Istraživači bezbednosti iz kompanije ThreatFabric otkrili su novu, naprednu varijantu malvera Octo, nazvanu „Octo2“, koja ozbiljno ugro... Dalje

Trojanac Necro ponovo na Google Play, zaraženo najmanje 11 miliona Android uređaja

Trojanac Necro ponovo na Google Play, zaraženo najmanje 11 miliona Android uređaja

Nova verzija malvera Necro za Android instalirana je na 11 miliona uređaja preko Google Play, upozorila je kompanija Kaspersky. Necro je instaliran p... Dalje

Novi Android malver omogućava hakerima da podignu novac žrtava sa bankomata

Novi Android malver omogućava hakerima da podignu novac žrtava sa bankomata

Istraživači iz ESET-a otkrili su novi malver za Android nazvan NGate koji krade informacije o platnim karticama žrtava koje zatim šalje napadačim... Dalje