Sårbarhed i iOS lader angribere tvinge ofre til at ringe op

Angribere kan få apps til iOS til at ringe op til bestemte numre. De kan forhindre, at offeret lægger røret på, før opkaldet går igennem.

Sikkerhedsforsker Collin Mulliner har fundet sårbarheden i iOS-apps til Twitter og LinkedIn. Han formoder, at den underliggende sårbarhed ligger i WebView-funktionen i iOS, der lader en app vise web-indhold.

For at udnytte sårbarheden skal en angriber få sit offer til at klikke på et link i den sårbare app. Herefter ringer telefonen op til et nummer, som angriberen har bestemt. Angriberen kan også sætte iOS til at åbne en anden app, mens opkaldet bliver foretaget. Det gør det vanskeligt for offeret at komme til at afbryde opkaldet.

Sårbarheden kan fx udnyttes til at få offeret til at ringe til et overtakseret nummer.

Det er muligt at andre iOS-apps, som anvender WebView, er sårbare.

Anbefaling

Afvent opdateringer fra producenter af sårbare apps.

Links

Keywords: