安全研究人员Collin Mulliner在本周揭露一藏匿在iOS平台WebView元件中的臭虫,将允许骇客偷用使用者的iPhone拨打电话到指定的号码。
Mulliner说他开採此漏洞的灵感是来自于今年10月底被逮捕的18岁骇客Meetkumar Hiteshbhai Desai。Desais在网路上公布了一个连结,iPhone用户只要点选该连结,手机就会自动重複拨打美国的紧急求助电话号码911,因为造成许多警局收到大量接起来即挂断的电话,促使警方展开调查。
Desais则说漏洞是朋友供应的,他只是为了好玩跟证明自己的实力,没有要瘫痪911的意思。根据警方的调查,Desais所张贴的连结总计吸引了1,849次的点选。
总之,Mulliner受到这则新闻的启发,决定找出问题所在,发现它应该属于应用程式漏洞,同时也与iOS不良的框架预设值有关,只要是採用WebViews来显示内容的iOS程式都可能存在相关漏洞,让iPhone会自动拨打由骇客指定的电话号码。
Mulliner证实了iOS平台上的Twitter与LinkedIn程式都含有该漏洞,而且在Twitter上只用了一行HTML就触发了该漏洞,之后还打造进阶的概念性验证程式,可在iPhone拨打电话时跳出另一个程式来遮掩通话介面。
该漏洞的开採只适用于採用WebView来开启网页的程式,若程式的预设值是利用Safari或Chrome来开启网页,就能免受其害。此外,Mulliner也怀疑其他基于WebView的行动程式亦含有相关漏洞。
Mulliner鼓励行动程式开发商检查程式中的WebView用法,也建议苹果变更WebView的预设行为。
I 相关 / Other
脸书早已是人际关系主要互动,相互加帐号分享生活点滴,不知不觉好朋友数越来越多,一不小心认识或不认识都按下同意,好朋友数突破千人都有可能,但是生活很难有这么多“好友”,脸书小工具就能看看谁跟我没互动。小
11月10日消息,近日,河南省洛阳市西朱村一处大型墓葬发掘工作接近尾声,根据考古专家判断,此墓为曹魏时期大型墓葬。新华社记者 李贺 摄 图片...洛阳市西朱村大型墓葬中出土的遣策(随葬品的清单)。新华社记者 李贺 摄
.Fco669{display:none;}
下面的这个怪鱼长相真是太恐怖了!称之为魔鬼鱼一点也不为过,但目测这是因为死亡时间过度脱水导致的,大家可以看看详细的报道,南非发现一面目狰狞的怪鱼:
据韩国《朝鲜日报》网站5月7
.Ppu566{display:none;}腐尸,听起来好可怕.我相信咱们大家都没见过吧,近日呢,有居民报警绿化带内发现腐尸,那也太恐怖了吧,真是吓死了,你知道腐尸有毒吗,并且很厉害,如果不懂就一起看看下文吧.原文:www.7l
.Jhb323{display:none;}
我们人类生活在地球上,有的人就觉得在所有的星球中我们人类就是唯一的,但是很多科学家不相信这样的理论,处处发现一些可疑天体,之前他有科学家发现了距离地球22光年星系外地球,被称为地