开发人员Andrei Neculaesei发现,一些应用程序恶意编码的链接会滥用“电话”网络处理程序,当你查看智能手机上的信息时,会自动拨打高级电话号码,从而导致话费上涨。哥本哈根无线
开发人员Andrei Neculaesei发现,一些应用程序恶意编码的链接会滥用“电话”网络处理程序,当你查看智能手机上的信息时,会自动拨打高级电话号码,从而导致话费上涨。
哥本哈根无线流媒体公司Airtame的Andrei Neculaesei表示,大多数本地移动应用程序处理电话号码的方式存在风险。电话号码通常以链接的形式出现在移动设备上,可以通过统一资源标识符(URI)方案“tel”来触发呼叫。如果用户在苹果的移动Safari浏览器中点击一个电话号码,就会弹出一个弹出窗口,询问用户是否想继续通话。
Neculaesei在他的博客中写道:“当用户点击网页上的电话链接时,iOS就会显示一个警告,询问用户是否真的想拨打这个电话号码,如果用户接受,就会开始拨号。”“当用户在本地应用程序中打开带有tel模式的URL时,iOS不会显示警报,并在没有进一步提示用户的情况下发起拨号。”
他继续说,“所以如果我在Safari中点击这个链接,我就会得到提示,要求我确认我的操作,如果我在本地应用程序的webView中点击这个链接,它不会询问并立即执行这个操作(发出调用)。”
他还说,这一漏洞并不局限于任何一个应用程序或开发者。Gmail、Facebook Messenger、谷歌+甚至是一些不太知名的应用程序都成为了攻击的目标。Neculaesei在他的博客中表示,苹果可以通过要求所有电话链接的提示来缓解这一问题。本月初,Neculaesei在拉斯维加斯举行的Bsides安全会议上展示了他的研究成果。
早些时候,研究人员发现Android系统存在一个安全漏洞,恶意网站可以自动拨打付费电话号码。研究人员还发现了安卓系统的一个漏洞,该漏洞允许恶意软件控制你的智能手机摄像头,并在未经用户许可的情况下将图片上传到一个未知的服务器上。