iOS, occhio al bug che fa partire le chiamate all'insaputa dell'utente

Attenzione ai siti che visitate, perché una feature in iOS permette ai malintenzionati di creare dei link che possono far partire una chiamata telefonica senza un esplicito consenso dell'utente.
iOS, occhio al bug che fa partire le chiamate all'insaputa dell'utente
Attenzione ai siti che visitate, perché una feature in iOS permette ai malintenzionati di creare dei link che possono far partire una chiamata telefonica senza un esplicito consenso dell'utente.


Uno sviluppatore romeno, Andrei Neculaesei, ha fatto una scoperta che non vi piacerà. In iOS esiste una feature che permette di comporre un numero di telefono su iPhone senza dover ricorrere al tastierino numerico. Il problema è che un malintenzionato potrebbe instradare una chiamata a numerazioni premium senza il vostro consenso. Occhio dunque ai siti che visitate.

Leggi anche: iOS 7, un bug fa disabilitare ‘Trova il mio iPhone’ senza password

Per semplificare la vita agli utenti, iOS prevede che si possa incastonare nelle pagine Web una scorciatoia per avviare comuni telefonate su iPhone. È un meccanismo molto semplice che funziona attraverso i collegamenti: se per esempio fate clic su un link contente l’URI “mailto:” allora il sistema aprirà un nuovo messaggio in Mail; utilizzando “tel:” invece viene avviata l’app telefonica.

Di solito, quando questo avviene su Safari mobile, il sistema chiede prima all’utente una conferma, ma con le app di terze parti invece no, perché Cupertino dà la facoltà agli sviluppatori di eludere il passaggio della conferma esplicita. Detta in parole semplici, chiunque può creare una pagina Web o dei link che facciano partire chiamate voce o FaceTime.

E l’esperimento funziona sia sul Messenger di Facebook che su Google+, su Twitter, su LinkedIn ma probabilmente su qualunque altra app di terze parti. Come capita spesso con la mela, non si tratta di una vulnerabilità vera e propria, quanto piuttosto in una leggerezza nelle fondamenta dell’ecosistema; si può perfino dire che Apple si sia fidata troppo del buonsenso e dell’onestà degli sviluppatori, sottostimando l’impatto di malware e compagnia.

Curiosi di ripetere l’esperimento? Allora, avviate Facebook Messenger, inviate questo URL in un messaggio e poi tentate di aprirlo:

http://box.algorithm.dk/ios/02.html

Attenzioni quindi ai siti che visitate, e soprattutto state attenti che non vengano inoltrate chiamate indesiderate. Almeno fino a quando Apple non metterà una pezza ufficiale sopra. Forse, già con iOS 8.

Leggi anche: 25 piccole novità di iOS 8 che non vi aspettavate

Ti consigliamo anche

Link copiato negli appunti