iOS-bug laat apps automatisch bellen

Door: Raymon Mens - 3 reacties

Een nieuwe, maar ook oude bekende bug zorgt ervoor dat het vanuit bepaalde iOS-apps mogelijk is een telefoonnummer te bellen zonder interactie van de gebruiker. Het openen van een link is genoeg. Bovendien wordt de telefoon even geblokkeerd.

Deze bug waarbij via een webpagina een telefoonnummer ingeladen wordt, werd in 2008 al door Apple in Safari gefikst, maar dit blijkt niet voor alle in-app browsers van bijvoorbeeld de Twitter- of LinkedIn-app te gelden.

Eerst vragen, dan bellen

Onderzoeker Collin Mulliner beschrijft het probleem met de zogenaamde WebView. Als een link een bel-commando wil uitvoeren, moet de gebruiker dit eerst bevestigen. Deze maatregel werd door Apple al in iPhone OS 2.0 uit 2008 ingevoerd, maar als een app de WebView niet correct implementeert, gaat het alsnog fout. Niet alle apps maken deze fout, maar Mulliner kon de fout in zowel de Twitter- als LinkedIn-app verifi├źren.

De werking is vrij simpel: de pagina vernieuwt zichzelf na 1 seconde en roept een “TEL” commando aan dat ook voor legitieme doeleinden gebruikt kan worden. Op de achtergrond zorgt een stukje javascript ervoor dat de telefoon een sms naar een gigantisch lang nummer wil sturen, wat voornamelijk oudere toestellen even niet laat reageren.

Zelf testen

Zelf testen of een app die je gebruikt kwetsbaar voor deze bug is? Wij hebben de proof of concept code verwerkt in een html-pagina die automatisch Apple Support op een Nederlands 0800-nummer belt. Stuur deze link naar jezelf en open ‘m in de in-app browser. Twitter voor iOS ge├»nstalleerd? Dan zou deze tweet in de app moeten openen.

Volgens Mulliner is het aan Apple om de WebView zodanig te verbeteren dat ook apps met een slechte implementatie niet door deze bug getroffen zijn. Hij heef Twitter en LinkedIn op de hoogte gesteld. Dat het geen onschuldige bug is, blijkt uit een zaak in de VS waar een onderzoeker is opgepakt toen hij door deze methode te delen per ongeluk een noodnummer platlegde.

webview_auto_dialer_poc
Broncode van de proof of concept-pagina – Klik/tap voor groter.

Reacties

3 reacties
  • Profielfoto
    pruus

    Zo gemakkelijk sluipen zaken er weer in….

  • Profielfoto
    Tys Brenets

    Eh, je bedoelt ‘iOS-bug laat apps automatisch VERZOEKEN OM TE bellen’?

    Je krijgt toch gewoon een pop-up met de vraag Annuleer/Bel? Ik zie dit niet echt als ernstige bug.

  • Profielfoto
    Alexander Henket

    Yuck! Nieuwste iOS beta en Feedler. Je krijgt de pop-upvraag wel maar na Annuleren ga je toch door naar Berichten.app en vult hij dat lange nummer alvast in. iPhone 6 maar toch redelijk wat traagheid.