Safari na iOS-u ima zgodnu mogućnost uspostavljanja poziva ukoliko se "tapne" na telefonski broj. Pre toga OS korisnika pita za potvrdu poziva. U ostalim nativnim aplikacijama potvrda uspostavljanja poziva od korisnika se ne traži, osim ako se to eksplicitno ne postavi.
Danski programer koji je otkrio propust je pronašao i način na koji bi napadač taj propust mogao iskoristiti. Korišćenjem URI sheme tel i uz par linija JavaScripta, omogućio je automatsko pozivanje željenog broja jednim jedinim "tapom" na link, a propust je moguće iskoristiti i preko koda na serverskoj strani. Kako to izgleda u Facebook Messenger-u pogledati možete na sledećem linku.
Sporni način uspostave poziva preko linka funkcioniše preko svih popularnih aplikacija koje su testirane – Facebook Messenger-a, FaceTimea, Gmail-a i Google+. S obzirom da je propust vrlo jednostavno iskoristiti, a zlonamerni napadači mogu postaviti pozivanje brojeva sa skupim tarifama, ovo je problem na kojem će trebati poraditi ili Apple ili autori mobilnih aplikacija.
Rupa u iOS-u: Otvoriš sajt i krene uspostavljanje poziva
10:05
nema komentara
Postavi komentar
Vaš komentar: