安全人員日前發(fā)現(xiàn)了iPhone中的一個(gè)***漏洞，可以在用戶查看惡意信息時(shí)自動(dòng)撥打電話，而不被用戶發(fā)現(xiàn)。

[[118879]]

移動(dòng)設(shè)備中的電話號(hào)碼經(jīng)常以鏈接的形式出現(xiàn)，這其實(shí)是使用了一種名為“tel”的統(tǒng)一資源標(biāo)示符(URI)機(jī)制來觸發(fā)通話。URI機(jī)制涵蓋很多內(nèi)容，可以告訴計(jì)算機(jī)到哪里尋找特定資源，包括在點(diǎn)擊電子郵件地址時(shí)啟動(dòng)郵件應(yīng)用。

而丹麥無線流媒體公司Airtame開發(fā)者安德烈·尼庫(kù)拉辛(Andrei Neculaesei)表示，多數(shù)原生移動(dòng)應(yīng)用處理電話號(hào)碼的方式蘊(yùn)含著風(fēng)險(xiǎn)。

當(dāng)用戶在蘋果的Safari瀏覽器中點(diǎn)擊一個(gè)電話號(hào)碼時(shí)，瀏覽器會(huì)彈出窗口，詢問用戶是否愿意撥打電話。但很多原生移動(dòng)應(yīng)用卻會(huì)在不向用戶詢問的情況下直接撥打電話。雖然也可以通過配置來顯示警告信息，但多數(shù)應(yīng)用都關(guān)閉了這一功能。

這一漏洞并不局限于一款應(yīng)用或一個(gè)開發(fā)者。Facebook、Messenger、Gmail、Google 都可能成為犧牲品，而其他知名度較低的應(yīng)用也可能面臨類似的問題。

尼庫(kù)拉辛已經(jīng)發(fā)現(xiàn)了一種方法來濫用這種功能。他開發(fā)了一個(gè)包含JavaScript腳本的網(wǎng)頁(yè)，一旦用戶打開網(wǎng)頁(yè)，便可促使移動(dòng)應(yīng)用觸發(fā)通話。另外，他還演示了通過Facebook Messenger發(fā)送惡意鏈接，從而觸發(fā)通話的過程。

尼庫(kù)拉辛表示，不法分子可以借此誘使用戶撥打昂貴的收費(fèi)電話，從而牟取暴利。他的測(cè)試表明，F(xiàn)acebook Messenger、蘋果Facetime、谷歌Gmail和Google 應(yīng)用都不會(huì)在撥打電話前向用戶發(fā)出警告?！　acebook和谷歌尚未對(duì)此置評(píng)。