Um pesquisador de segurança descobriu um bug no iOS WebView que permitirá que um invasor force um iPhone a discar qualquer número e bloqueie a interface do telefone para que a chamada de saída não possa ser cancelada..

O problema foi levantado por Collin Mulliner, que encontrou um bug semelhante no navegador Safari em 2008, que foi então corrigido na atualização do iOS 3. Mulliner decidiu olhar para trás no bug, ele disse, depois de ler uma notícia sobre um adolescente que foi preso por aparentemente inadvertidamente explorar um bug semelhante para inundar 911 call centers em todo os EUA com chamadas.

Mulliner descobriu que o bug é um pouco diferente do que ele descobriu em 2008, mas acredita que descobriu como funciona.

Apps devem perguntar primeiro

O bug é iniciado pela primeira vez quando um usuário do iPhone clica em um link malicioso postado em aplicativos como Twitter e LinkedIn, que usam o componente iOS WebView para abrir uma página da Web no aplicativo em vez de um navegador externo como o Safari ou o Chrome.

O link leva o usuário a uma página da Web que obriga o iPhone a discar o número incorporado e a página recarrega repetidamente, congelando o dispositivo e impossibilitando o cancelamento da chamada..

A razão pela qual o iPhone é forçado a discar o número é porque os links nesses aplicativos são abertos pelo WebView que disca automaticamente os números incorporados, ao contrário do Safari, que resolveu a iteração anterior do bug perguntando ao usuário por meio de um pop-up, se quiserem. disque um número primeiro.

Explorando o bug para call centers DoS 911 é certamente terrível, mas Mulliner adverte que não é o único uso possível dele, sugerindo que tais links também podem levar usuários a páginas embutidas com números caros que permitiriam aos atacantes ganhar dinheiro com as vítimas..

Ele até mesmo teoriza que um perseguidor poderia enviar um link embutido com seu próprio número para sua vítima, a fim de forçar uma chamada que, em seguida, forneceria ao stalker o número da vítima..

Em um post no blog, Mulliner afirma que relatou o bug para a Apple, mas também contatou o LinkedIn e o Twitter com suas descobertas, pois acredita que os desenvolvedores de aplicativos podem revisar o uso do WebView até que a Apple seja capaz de mudar seu comportamento padrão. Esperamos que eles emitam um patch rapidamente, não parece que esta nuvem tenha algum revestimento de prata.

Mulliner postou um vídeo do bug em ação, que você pode assistir abaixo:

  • Estas são as melhores ofertas de iPhone 7 disponíveis no momento