最近发现了一个新的 漏洞 设备 iPhone 这使得触发 叫 至 数收费 无需用户通过一定的知识 iOS应用.
显然,这个漏洞可以被利用计划 的URI (统一资源标识符)要拨打不同的电话号码。 大多数时候,电话号码显示为 链接 设备 通过手机捐款 在不同的情况下: 短信, IM对话 或 电子邮件。 显示此方法的说明,指出该设备URI在哪里可以找到或如何使用这些信息:例如,让水龙头时/点击 电子邮件 显示为 链接或 电子邮件 被推出,以方便发送 信息 以解决。 同样是真实的电话号码。
当 iPhone用户 点击一个 电话号码 显示为 链接 in Safari, 手机浏览器 显示一个 弹出式 询问用户是否希望确保呼叫该号码。 不幸的是,这是不为其他应用程序的情况下 原生的iOS (例如, FaceTime公司, Facebook Messenger, Gmail的 或 Google+的),iPhone 用户经常使用(尽管这些应用程序可以选择显示 警告 对于这种情况,它是默认模式 禁用)。 因此,在如果用户不小心给自来水中的电话号码收到 e-mail 或 Facebook / Google+讯息它可以使 电话 相应的数字,没有意识到这一点。 利用这个漏洞,恶意攻击者可以创建脚本,可能会导致性能 呼吁未被发现 通过简单地查看 电话号码 (开发谁发现了这个漏洞, 安德烈Niculaesei曾在他的博客做了这样一个演示,展示如何 恶意链接 通过发送 Facebook Messenger 启动呼叫的电话号码只需分别查看链接)。
有漏洞(电话没有警告)仅被认定 流行的应用程序但它是可能的,它在许多其它存在 iOS应用. Facebook 是谁的脆弱性的发现,将很快推出A之后马上说只有开发商 更新 为 信使 来解决这个问题。任何 Apple 和应用程序的任何其他开发商有这样的 利用 没有对这个日期的陈述。
