Хакеры могут использовать Twitter, LinkedIn в iOS для совершения звонков

Олег Иванов 10 Ноября 2016 - 22:35

...

Хакеры могут использовать Twitter, LinkedIn в iOS для совершения звонков

Приложения для iOS, среди которых Twitter, LinkedIn и возможно другие, не менее популярные, могут использоваться хакерами для совершения телефонных звонков на произвольные номера. Также, используя эту схему, злоумышленники могут и препятствовать совершению звонков пользователем.

Исследователь в области безопасности Коллин Муллинер (Collin Mulliner) утверждает, что эта уязвимость связана с тем, как некоторые iOS-приложения обрабатывают компонент WebView. WebView, по сути, является браузером, встроенным в мобильные приложения. Он часто используется для отображения веб-страниц внутри приложения без необходимости использования стороннего браузера.

По словам Муллинера, злоумышленник, которому удастся заманить пользователя на специально созданную веб-страницу сможет совершать звонки, используя уязвимое приложение. Вредоносная страница, в данном случае, должна перенаправить жертву на TEL URI, который инициирует вызов на указанный номер. Эта часть атаки включает в себя только одну строку HTML-кода, однако жертва может легко завершить вызов.

В 2008 году Муллинер сообщил Apple об аналогичной уязвимости в Safari, что позволило злоумышленникам не только инициировать телефонные звонки, но и мешать пользователям сбросить вызов путем замораживания графического интерфейса телефона в течение нескольких секунд. На тот момент, Apple исправили этот недостаток прошивкой iOS 3.0.

Эксперт утверждает, что ему удалось инициировать вызовы, используя приложения Twitter и LinkedIn, при этом ему удалось запретить условному пользователю отменить вызов. Он опубликовал видео, где демонстрируется эта атака для каждого из этих двух приложений.

«Трюк заключается в том, чтобы заставить iOS открыть второе приложение в то время, пока совершается вызов» - объясняет Муллинер - «В 2008 году я использовал SMS URL с очень длинным номером телефона, чтобы блокировать пользовательский интерфейс».

Исследователь считает, что помимо Twitter и LinkedIn, другие приложения могут быть тоже подвержены этой уязвимости. Однако те приложения, которые открывают ссылки в сторонних браузерах, например, Safari и Chrome, не затронуты.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Июня 2026 - 19:12

R-Vision КИИ Соответствие законодательству РФ Корпорации Защита критически важных объектов Соответствие требованиям регуляторов R-Vision

R-Vision КИИ обновили под новые требования ФСТЭК России

Компания R-Vision выпустила обновление продукта R-Vision КИИ, предназначенного для автоматизации процессов категорирования объектов критической информационной инфраструктуры и подготовки отчётности для регуляторов.

Обновление связано с масштабными изменениями нормативной базы, которые произошли за последний год.

Были скорректированы правила категорирования объектов КИИ, обновлены требования к ведению реестра значимых объектов и утверждён единый перечень типовых объектов критической инфраструктуры.

В новой версии переработаны интерфейсы, карточки объектов, шаблоны отчётности и механизмы расчёта категории значимости. Теперь критерии значимости определяются непосредственно на уровне групп ИТ-активов, а часть ранее использовавшихся разделов и отчётов исключена как утратившая актуальность.

Карточки объектов КИИ получили новые поля. В них можно указывать федеральный округ, сферу деятельности, тип объекта, регистрационный номер, доменное имя и внешний сетевой адрес. При этом система автоматически формирует регистрационный номер на основе введённых данных, что позволяет сократить объём ручной работы.

Серьёзные изменения затронули и механизм категорирования. Калькулятор автоматически определяет применимые критерии оценки в зависимости от сферы деятельности объекта и рассчитывает итоговую категорию значимости. При необходимости результаты можно скорректировать вручную.

Кроме того, в продукте появились инструменты для расчёта коэффициента защищённости Кзи. Этот показатель характеризует состояние защиты значимых объектов КИИ и рассчитывается по методике ФСТЭК России. Для этого в системе добавлен готовый шаблон аудита с преднастроенными формулами и логикой вычислений.

Согласно действующим требованиям, субъекты КИИ должны проводить такую оценку не реже одного раза в полгода и направлять результаты во ФСТЭК в течение пяти рабочих дней после завершения расчётов.

Также в R-Vision КИИ обновлены шаблоны документов «Акт о категорировании КИИ» и «Сведения о присвоении категории», приведённые в соответствие с актуальными нормативными требованиями.

В результате обновление позволяет организациям сократить количество ручных операций при ведении реестра объектов КИИ, подготовке отчётности и выполнении регуляторных процедур, связанных с соблюдением требований законодательства о безопасности критической информационной инфраструктуры.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!