Проблема с WebView позволяет инициировать звонки на iOS

14.11.2016 | 11:04
Разработчикам продуктов для iOS, внедрившим компонент WebView в мобильные приложения, следует знать об эксплуатируемой уязвимости, открывающей возможность для инициации звонка на любой номер по выбору атакующего.

По словам исследователя Колина Маллинера (Collin Mulliner), эксплойт в данном случае тривиален, можно обойтись одной строкой HTML-кода. Для жертвы он может обернуться внушительным счетом за звонки на премиум-номера или, еще хуже, отказом в обслуживании, подобным той ситуации, которую повлек недавно выложенный на YouTube эксплойт, позволяющий за один клик вывести из строя call-центр службы спасения 911. Автор этой публикации, житель Аризоны, уже арестован.

Как обнаружил Маллинер, уязвимость в WebView затрагивает такие популярные iOS-приложения, как Twitter и LinkedIn. Исследователь протестировал также Facebook, WhatsApp, Snapchat и Yelp и выяснил, что его атака им не страшна. Тем не менее данная проблема может касаться многих других, менее распространенных приложений. «Существует множество других мессенджеров и приложений в социальных сетях, которые потенциально могут быть уязвимыми, — говорит Маллинер. — Уязвимо любое приложение, использующее WebView для загрузки страниц. Атака предельно проста, ее сможет провести кто угодно».

Исследователь предал свою находку гласности после того, как его отчет, направленный в Twitter, вначале быстро вернул подтверждение, а затем последовало лаконичное известие о том, что его отчет — дубль и засчитан не будет. Маллинер также попытался подать заявку в рамках Bug Bounty другой соцсети, LinkedIn, однако ему сказали, что это закрытая программа и проблемой займется ИБ-служба компании. Представители Apple тоже подтвердили получение отчета от исследователя и заявили, что проведут расследование.

Для осуществления атаки нужно лишь отправить жертве ссылку, перенаправляющую на сайт с HTML-кодом злоумышленника. Этот код инициирует телефонный вызов с помощью номеронабирателя на устройстве посетителя — о возможности аналогичной атаки Маллинер предупреждал Twitter еще в 2008 году. Исследователь также заявил, что пользователю можно помешать, если тот захочет отменить вызов, достаточно будет принудительно запустить другое приложение, которое перекроет номеронабиратель на домашнем экране.

В своей блог-записи Маллинер отметил, что его прежний эксплойт-код работает и в этом случае, одна строка HTML запускает номеронабиратель, десять строк помогают скрыть атаку. «Я думал, эта проблема была решена восемь лет назад, — говорит автор новой находки. — По всей видимости, этого не случилось. Ничего особенного в данном случае не требуется, все прекрасно работает на любой версии iPhone с приложением Twitter или LinkedIn. Никакого специального софта, лишь возможность разместить HTML-страницу».

Демонстрацию атаки на приложения Twitter и LinkedIn Маллинер выложил на YouTube.
WebView, несанкционированные звонки, iOS
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код