发信人: fcfarseer(fc), 信区: MobilePhone
标 题: App 漏洞让 iPhone 可以未经许可自动拨打电话
发信站: 饮水思源 (2014年08月26日01:55:34 星期二), 站内信件

http://cn.engadget.com/2014/08/25/automatic-phone-call-exploit/?ncid=rss_truncated

手机的使用者们应该都曾受惠于直接点击,便能拨打电话的 URI(Uniform Resource
Identifier)链接的便利性。但你可曾想过假若这项功能,被恶意利用在欺骗的网页链
接之上会有什么后果?如果是一串数字的电话号码的话,多少还可以看出是要打去哪里
,但如果把链接藏在普通的文字或图片链接中(例如「下载」),然后自动拨打给付费
电话号码的话,那就当冤大头了。

一位来自 Airtame 公司的开发者 Andrei Neculaesei 发现,尽管 Safari 浏览器会在
拨打电话前会询问,但其余应用包括 Facebook Messenger、Gmail、Google+ ,都不会
在拨打前进行警告。而在 Andrei 更深入研究下,发现这样的「tel」链接漏洞,还有可
能可能通过 Header 自动转址,允许手机自动播打可疑电话的机会。所以,在 Apple 甚
至是几间公司释出修补之前,我们只能希望这样的漏洞不要被有心人士给利用了。

發現漏洞者的博客,內有動畫演示:
http://algorithm.dk/posts/rtfm-0day-in-ios-apps-g-gmail-fb-messenger-etc

額,雖然不如上面那個Android漏洞那麼嚴重,不過也挺嚴重的了……以及除了電話還可
以撥打facetime。

--
computerは神様だと信じていて
だからVIMの上でずっと指が舞って
自ら恋愛相手を作り出して




※ 来源:·饮水思源 bbs.sjtu.edu.cn·[FROM: 61.194.71.92]