App 漏洞讓 iPhone 可以未經許可自動撥打電話(凝視帳單)


手機的使用者們應該都曾受惠於直接點擊,便能撥打電話的 URI(Uniform Resource Identifier)連結的便利性。但你可曾想過假若這項功能,被惡意利用在欺騙的網頁連結之上會有什麼後果?如果是一串數字的電話號碼的話,多少還可以看出是要打去哪裡,但如果把連結藏在普通的文字或圖片連結中(例如「下載」),然後自動撥打給付費電話號碼的話,那就當冤大頭了。

一位來自 Airtame 公司的開發者 Andrei Neculaesei 發現,儘管 Safari 瀏覽器會在撥打電話前會詢問,但其餘應用包括 Facebook Messenger、Gmail、Google+ ,都不會在撥打前進行警告。而在 Andrei 更深入研究下,發現這樣的「tel」連結漏洞,還有可能可能透過 Header 自動轉址,允許手機自動播打可疑電話的機會。所以,在 Apple 甚至是幾間公司釋出修補之前,我們只能希望這樣的漏洞不要被有心人士給利用了。

來源: Algorithm.dk

經由: Engadget, PCWorld

相關報導: Hacker News