App 漏洞让 iPhone 可以未经许可自动拨打电话(凝视账单)

Ross Wang
Ross Wang
2014年08月25日, 晚上 07:11

手机的使用者们应该都曾受惠于直接点击,便能拨打电话的 URI(Uniform Resource Identifier)链接的便利性。但你可曾想过假若这项功能,被恶意利用在欺骗的网页链接之上会有什么后果?如果是一串数字的电话号码的话,多少还可以看出是要打去哪里,但如果把链接藏在普通的文字或图片链接中(例如「下载」),然后自动拨打给付费电话号码的话,那就当冤大头了。

一位来自 Airtame 公司的开发者 Andrei Neculaesei 发现,尽管 Safari 浏览器会在拨打电话前会询问,但其余应用包括 Facebook Messenger、Gmail、Google+ ,都不会在拨打前进行警告。而在 Andrei 更深入研究下,发现这样的「tel」链接漏洞,还有可能可能通过 Header 自动转址,允许手机自动播打可疑电话的机会。所以,在 Apple 甚至是几间公司释出修补之前,我们只能希望这样的漏洞不要被有心人士给利用了。
标签: apple, exploit, facebook, facebookmessenger, facetime, gmail, google, google+, ios, iphone, mobilepostcross, security