Un dezvoltator roman descopera o VULNERABILITATE periculoasa in platforma iOS

4

  Andrei Neculaesei este un dezvoltator roman care lucreaza pentru o companie daneza, iar intr-un articol publicat pe blogul personal el descrie o vulnerabilitate extrem de periculoasa pentru platforma iOS. Mai exact, vulnerabilitatea se afla in sistemul de URL-uri interne al iOS-ului, el descoperind ca anumite aplicatii pot apela automat numere de telefon in momentul in care accesam un link intern(sau un link extern catre un website ce contine un link intern cu numar de telefon) pentru acel numar de telefon, chiar si fara a sti exact ce face el.

  Daca apasati in Safari un asemenea link cu un numar de telefon atasat, browserul va afisa automat o alerta care va intreaba daca doriti sa apelati acel numar de telefon, insa aplicatiile care folosesc browsere interne(WebView) nu afiseaza aceasta alerta. In imaginea de mai sus aveti o animatie facuta pentru a demonstra vulnerabilitatea in functiune in aplicatia Facebook Messenger, insa aplicatiile FaceTime, Gmail, Google+ si toate cele care folosesc WebView sunt deasemenea afectate.

  Folosindu-se de aceasta vulnerabilitate un hacker va poate pacali pentru a suna la numere de telefon cu suprataxa sau va poate afla chiar identitatea, avand in vedere ca si aplicatia FaceTime este afectata. Apple le permite dezvoltatorilor sa forteze aplicatiile sa afiseze alerte si pentru browserele interne WebView, dar in cazul in care ele nu o au sistemul activ, daca nu sunteti atenti ce link-uri accesati din aplicatii, s-ar putea sa apelati numere de telefon necunoscute prin iPhone, in cazul iPad/iPod Touch-urilor doar apelurile FaceTime fiind posibile.

  Acestea fiind spuse, neatentia dezvoltatorilor ne-ar poate costa sume serioase de bani daca hackerii vor dori sa profite de aceasta vulnerabilitate.