近日,安全人员发现了iPhone的一个安全漏洞,可以在用户查看恶意信息时自动拨打电话,而不会被用户发现。移动设备上的电话号码通常以链接的形式出现,实际上使用称为“tel”的统一资源标识符(URI)机制来触发呼叫。URI机制涵盖很多方面,可以告诉计算机在哪里可以找到特定资源,包括在单击电子邮件地址时启动邮件应用程序。丹麦无线流媒体公司Airtame的开发人员AndreiNeculaesei表示,大多数本地移动应用程序处理电话号码的方式存在风险。当用户在Apple的Safari浏览器中点击电话号码时,浏览器会弹出一个窗口询问用户是否要拨打电话。但是许多本机移动应用程序会在不询问用户的情况下拨打电话。虽然它也可以配置为显示警告消息,但大多数应用程序都关闭了此功能。该漏洞不仅限于一个应用程序或一个开发人员。Facebook、Messenger、Gmail、谷歌都可能成为受害者,其他鲜为人知的应用程序也可能面临类似问题。Nikurasin发现了一种滥用此功能的方法。他开发了一个包含JavaScript脚本的网页,一旦用户打开网页,移动应用程序就会触发呼叫。此外,他还演示了通过FacebookMessenger发送恶意链接触发呼叫的过程。Nikuraxin表示,不法分子可以借此引诱用户拨打昂贵的长途电话,从而获取巨额利润。他的测试表明,FacebookMessenger、AppleFacetime、谷歌Gmail和谷歌应用程序在拨打电话之前都不会警告用户。 Facebook和谷歌尚未发表评论。
