Хакеры могут использовать Twitter, LinkedIn в iOS для совершения звонков

Хакеры могут использовать Twitter, LinkedIn в iOS для совершения звонков

Хакеры могут использовать Twitter, LinkedIn в iOS для совершения звонков

Приложения для iOS, среди которых Twitter, LinkedIn и возможно другие, не менее популярные, могут использоваться хакерами для совершения телефонных звонков на произвольные номера. Также, используя эту схему, злоумышленники могут и препятствовать совершению звонков пользователем.

Исследователь в области безопасности Коллин Муллинер (Collin Mulliner) утверждает, что эта уязвимость связана с тем, как некоторые iOS-приложения обрабатывают компонент WebView. WebView, по сути, является браузером, встроенным в мобильные приложения. Он часто используется для отображения веб-страниц внутри приложения без необходимости использования стороннего браузера.

По словам Муллинера, злоумышленник, которому удастся заманить пользователя на специально созданную веб-страницу сможет совершать звонки, используя уязвимое приложение. Вредоносная страница, в данном случае, должна перенаправить жертву на TEL URI, который инициирует вызов на указанный номер. Эта часть атаки включает в себя только одну строку HTML-кода, однако жертва может легко завершить вызов.

В 2008 году Муллинер сообщил Apple об аналогичной уязвимости в Safari, что позволило злоумышленникам не только инициировать телефонные звонки, но и мешать пользователям сбросить вызов путем замораживания графического интерфейса телефона в течение нескольких секунд. На тот момент, Apple исправили этот недостаток прошивкой iOS 3.0.

Эксперт утверждает, что ему удалось инициировать вызовы, используя приложения Twitter и LinkedIn, при этом ему удалось запретить условному пользователю отменить вызов. Он опубликовал видео, где демонстрируется эта атака для каждого из этих двух приложений.

«Трюк заключается в том, чтобы заставить iOS открыть второе приложение в то время, пока совершается вызов» - объясняет Муллинер - «В 2008 году я использовал SMS URL с очень длинным номером телефона, чтобы блокировать пользовательский интерфейс».

Исследователь считает, что помимо Twitter и LinkedIn, другие приложения могут быть тоже подвержены этой уязвимости. Однако те приложения, которые открывают ссылки в сторонних браузерах, например, Safari и Chrome, не затронуты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Контроль 24/7: Ростелеком и Солар обновили сервис мониторинга утечек данных

«Ростелеком» совместно с группой компаний «Солар» обновил сервис, который позволяет отслеживать утечки персональных данных. Теперь он работает круглосуточно и сразу сообщает абоненту, если его данные оказались в открытом доступе. Это помогает вовремя отреагировать и снизить риск мошенничества или других проблем.

Проверке можно подвергнуть не только информацию из личного кабинета, но и до пяти дополнительных номеров телефона или адресов электронной почты.

Если данные «всплывают» в сети, пользователь получает уведомление, а вместе с ним — рекомендации, например, поменять пароли или принять другие меры.

В отчёте, который формируется при срабатывании сервиса, указывается источник утечки, дата инцидента и тип скомпрометированной информации — при этом личные данные маскируются. Это помогает понять, что именно оказалось под угрозой и насколько серьёзна ситуация.

Скоро у абонентов «Ростелекома» появятся и дополнительные инструменты для онлайн-защиты.

По словам представителей компаний, с такими сервисами пользователи могут не только узнавать о потенциальных угрозах, но и вовремя принимать меры. В условиях, когда утечки данных стали обычным делом, это особенно важно — как для самих пользователей, так и для их близких.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru