安全研究人員Collin Mulliner在本周揭露一藏匿在iOS平台WebView元件中的臭蟲,將允許駭客偷用使用者的iPhone撥打電話到指定的號碼。
Mulliner說他開採此漏洞的靈感是來自於今年10月底被逮捕的18歲駭客Meetkumar Hiteshbhai Desai。Desais在網路上公布了一個連結,iPhone用戶只要點選該連結,手機就會自動重複撥打美國的緊急求助電話號碼911,因為造成許多警局收到大量接起來即掛斷的電話,促使警方展開調查。
Desais則說漏洞是朋友供應的,他只是為了好玩跟證明自己的實力,沒有要癱瘓911的意思。根據警方的調查,Desais所張貼的連結總計吸引了1,849次的點選。
總之,Mulliner受到這則新聞的啟發,決定找出問題所在,發現它應該屬於應用程式漏洞,同時也與iOS不良的框架預設值有關,只要是採用WebViews來顯示內容的iOS程式都可能存在相關漏洞,讓iPhone會自動撥打由駭客指定的電話號碼。
Mulliner證實了iOS平台上的Twitter與LinkedIn程式都含有該漏洞,而且在Twitter上只用了一行HTML就觸發了該漏洞,之後還打造進階的概念性驗證程式,可在iPhone撥打電話時跳出另一個程式來遮掩通話介面。
該漏洞的開採只適用於採用WebView來開啟網頁的程式,若程式的預設值是利用Safari或Chrome來開啟網頁,就能免受其害。此外,Mulliner也懷疑其他基於WebView的行動程式亦含有相關漏洞。
Mulliner鼓勵行動程式開發商檢查程式中的WebView用法,也建議蘋果變更WebView的預設行為。