IPhone-apps ringer uden at spørge først

Artiklen blev oprindeligt publiceret den 4/9/2014

Apps til iPhone kan ringe til telefonnumre uden først at spørge brugeren om lov. Angribere kan udnytte det til at få deres ofre til at ringe til dyre numre eller afsløre deres telefonnummer.

Styresystemet iOS giver mulighed for at ringe til telefonnumre via URL'er, der begynder med tel:. Klikker man på sådan en URL i den indbyggede Safari-browser, bliver man advaret om, at telefonen er ved at ringe op.

Men indbygger en udvikler opkald i en app, der anvender funktionen WebView til at vise webindhold, sker opkaldet uden at advare brugeren.

Systemudvikler Andrei Neculaesei har eksperimenteret med muligheden. Han opdagede, at den kunne udnyttes via apps som Facebook Messenger, Gmail og Google+.

Han demonstrerer i et blogindlæg, hvordan han via script-kode kan få siden til at klikke på linket automatisk. Brugeren skal blot læse beskeden, for at telefonen ringer op til angriberen.

Sikkerhedsforsker Paul Ducklin fra Sophos skriver i en kommentar, at Apple bør overveje at lade apps advare som standard, før de ringer op.

Links