Бесплатно Экспресс-аудит сайта:

27.08.2014

Facebook готовит исправление уязвимости, заставляющей iPhone совершать звонки

Как сообщают представители социальной сети Facebook, разработчики компании намерены в ближайшее время выпустить обновление безопасности для своего мобильного приложения для iOS-устройств. Речь идет об опасной уязвимости, эксплуатация которой позволяет злоумышленникам удаленно совершать звонки со смартфонов iPhone, принадлежащих жертвам атаки. Для этого достаточно вынудить пользователя перейти по специально сформированной вредоносной ссылке.

Брешь была обнаружена исследователем Андреем Некулизи (Andrei Neculaesei), по словам которого проблема заключается в реализации функционала набора номера, опубликованного на web-странице. Последний используется смартфонами на iOS как для запуска приложений, так и для инициации набора номера.

«Когда пользователь нажимает на телефонный номер на web-странице, iOS отображает предупреждение с просьбой указать, действительно ли пользователь намерен совершить звонок, поясняет эксперт. – Вместе с тем, когда пользователь открывает телефонный номер в приложениях, iOS не отображает предупреждений и инициирует набор номера без дополнительных вопросов».

При помощи собственноручно разработанного PoC-кода исследователь доказал, что данная брешь присутствует в клиентах таких крупных служб, как Gmail, Google+, Facetime т.п.