iOS發現新臭蟲，恐允許駭客偷用iPhone打電話

jis2577

資安專家看到新聞報導，有駭客用iPhone癱瘓了美國緊急電話911，進而在iOS平台WebView元件中發現了一個臭蟲，可以讓駭客暗中撥打使用者的iPhone到指定號碼。

安全研究人員Collin Mulliner在本周揭露一藏匿在iOS平台WebView元件中的臭蟲，將允許駭客偷用使用者的iPhone撥打電話到指定的號碼。
Mulliner說他開採此漏洞的靈感是來自於今年10月底被逮捕的18歲駭客Meetkumar Hiteshbhai Desai。Desais在網路上公布了一個連結，iPhone用戶只要點選該連結，手機就會自動重複撥打美國的緊急求助電話號碼911，因為造成許多警局收到大量接起來即掛斷的電話，促使警方展開調查。
Desais則說漏洞是朋友供應的，他只是為了好玩跟證明自己的實力，沒有要癱瘓911的意思。根據警方的調查，Desais所張貼的連結總計吸引了1,849次的點選。
總之，Mulliner受到這則新聞的啟發，決定找出問題所在，發現它應該屬於應用程式漏洞，同時也與iOS不良的框架預設值有關，只要是採用WebViews來顯示內容的iOS程式都可能存在相關漏洞，讓iPhone會自動撥打由駭客指定的電話號碼。
Mulliner證實了iOS平台上的Twitter與LinkedIn程式都含有該漏洞，而且在Twitter上只用了一行HTML就觸發了該漏洞，之後還打造進階的概念性驗證程式，可在iPhone撥打電話時跳出另一個程式來遮掩通話介面。
該漏洞的開採只適用於採用WebView來開啟網頁的程式，若程式的預設值是利用Safari或Chrome來開啟網頁，就能免受其害。此外，Mulliner也懷疑其他基於WebView的行動程式亦含有相關漏洞。
Mulliner鼓勵行動程式開發商檢查程式中的WebView用法，也建議蘋果變更WebView的預設行為。

myntpcb

不知道是什么版本的IPHONE呢。