Una nuova vulnerabilità iPhone è stata rilevata da uno sviluppatore basato a Copenaghen: sviluppando codice ad hoc il programmatore sostiene di essere in grado di avviare telefonate in automatico, senza il permesso dell’utente, anche verso numeri di telefono a pagamento per servizi costosi.
La scoperta di Andrei Neculaesei è stata pubblicata online: in pratica inserendo direttamente il numero di telefono in un link web aperto in una app nativa, non appare la tradizionale richiesta di sistema che chiede il permesso dell’utente per far partire la chiamata. Questa procedura, normale in iOS, può essere sfruttata anche all’interno di app famose e molto diffuse come per esempio Facebook, Twitter, Google, LinkedIn e altre ancora semplicemente creando poche righe di codice JavaScript.
La stessa tecnica funziona anche con l’app Gmail, Facebook Messenger, FaceTime e probabilmente molte altre ancora. Per il momento non sono noti casi di malware che colpiscono iPhone effettuando chiamate a numeri a pagamento costruiti ad hoc: tecnicamente non si tratta di una vera e propria vulnerabilità iPhone, bensì di una procedura normale prevista all’interno di iOS che potrebbe però essere sfruttata per scopi malevoli e attacchi pirata. Macitynet tornerà su questo argomento non appena ci saranno sviluppi.
