En iOS está documentado que es posible utilizar URIs del tipo tel: para crear enlaces que abran la aplicación de llamar y marquen directamente a un número de teléfono. Del mismo modo que cuando se usa mailto: en un enlace para forzar que se abra la aplicación de Mail en iOS se construya un correo electrónico. El problema radica en que Apple en su documentación deja claro que la alerta de que se va a realizar una llamada de teléfono debe ser responsabilidad de la app que abre ese enlace, y parece que Facebook, Google y muchas otras empresas no lo están teniendo en cuenta.
Lo peor es que si no es necesario que se haga clic en el enlace de tipo tel: ya que con un sencillo código JavaScript es posible hacer que el enlace haga clic en si mismo, por lo que con compartir el enlace de una web, es decir, un http:// y que el usuario lo visite desde una app insegura, se podría forzar la llamada de teléfono.
Como se puede ver en estas imágenes animadas, Facebook Messenger y GMail son vulnerables a estos ataques en iOS, y fácilmente se puede forzar una llamada sin informar al usuario de que esto se va a producir.
La presentación completa la dio el investigador en la pasadas conferencias B-Sides de Las Vegas, y aquí puedes ver la explicación completa y las demos en real.
Figura 4: Conferencia en B-Sides sobre estos problemas por parte del investigador Guillame K. Ross
Por razones como esta, siempre es importante tener actualizadas nuestras aplicaciones, pues los desarrolladores como los de facebook messenger, siempre se preocupan por mantener las vulnerabilidades de lado.
ResponderEliminarsaludos