iPhone 作為智能手機,原本的目的當然用來打電話(廢話都要說一句),但你可曾想像過你的智能手機無故打電話殼警?最近有保安專家踢爆了一個 iOS 重大漏洞,只需一個虛假連結,就會令手機自動撥打指定電話,包括用來的報警的緊急電話。
系統保安專家 Collin Mulliner 發現一個由 iOS Webview 引發的自動撥號漏洞,他指發現這個漏洞是因為一個 18 歲少年利用朋友提供的漏洞製成連結,點選連結手機就會自動重複打電話報警,因而觸動警方拘捕少年。專家看到新聞之後決定尋找原因。後來他在 IOS 的框架之中尋找令手機自動撥號的漏洞原因,就是因為一個存在於 Webview 框架的漏洞,只要應用程式利用 WebViews 來顯示都會隱藏這個漏洞,令黑客可以移植程式碼,只需一個虛假連結,就會令手機自動撥號。該系統保安專家甚至在 Twitter 和 Linkedin 進行示範,證實漏洞的存在。
有趣的是這個漏洞是從 iPhone OS 3 的時候(即 iPhone 3GS 的時候)已經存在,一度透過 Mobile Safari 的技術修復,但未知為何會在 WebVIew 框架之中再次出現,而且未知蘋果何時會堵塞這個漏洞。唯一可以避免漏洞發作的方法,只能夠避免安裝非 App Store 第三方 iOS 應用程式了,以及不要胡亂分享連結。
