En rumænsk udvikler opdager en farlig SÅRBARHED i iOS-platformen

  Andrei Neculasei er en rumænsk udvikler, der arbejder for en dansk virksomhed, og i en artikel offentliggjort på personlig blog han beskriver en ekstremt farlig sårbarhed for iOS-platformen. Mere præcist er sårbarheden inde iOS's interne URL-system, opdager han det visse applikationer kan automatisk ringe til telefonnumre når vi får adgang til et internt link (eller et eksternt link til et websted, der indeholder et internt link med et telefonnummer) for det pågældende telefonnummer, selv uden at vide præcis, hvad det gør.

  Hvis du trykker ind Safari et sådant link med et tilknyttet telefonnummer, vil browseren automatisk vise en advarsel, der spørger, om du vil ringe til det telefonnummer, men applikationer, der bruger interne browsere (WebView), viser ikke denne advarsel. På billedet ovenfor har du lavet en animation for at demonstrere sårbarheden i driften i applikationen Facebook Messenger, men applikationerne FaceTime, gmail, Google+ og alle dem, der bruger WebView, er også berørt.

  Ved at bruge denne sårbarhed kan en hacker narre dig til at ringe til gratis telefonnumre eller endda finde ud af din identitet, i betragtning af at FaceTime-applikationen også er påvirket. Apple tillader udviklere at tvinge apps til også at vise advarsler for interne WebView-browsere, men hvis de ikke har systemet aktivt, hvis du ikke er forsigtig med, hvilke links du får adgang til fra apps, kan du ende med at ringe til ukendte telefonnumre via iPhone , i tilfælde af iPad/iPod Touches er kun FaceTime-opkald mulige.

  Når det er sagt, kan udviklernes skødesløshed koste os store summer, hvis hackere ønsker at drage fordel af denne sårbarhed.