Un chercheur en sécurité a découvert un bogue dans iOS WebView qui autoriserait un attaquant à forcer un iPhone à composer un numéro quelconque et à verrouiller l'interface du téléphone afin que l'appel sortant ne puisse pas être annulé..

Le problème a été soulevé par Collin Mulliner, qui a rencontré un bug similaire dans le navigateur Safari en 2008, qui a ensuite été résolu dans la mise à jour iOS 3. Mulliner a décidé de se pencher sur le virus, a-t-il dit après avoir lu un article sur un adolescent arrêté pour avoir apparemment exploité par inadvertance un virus similaire afin d'inonder les centres d'appels du 911 à travers les Etats-Unis..

Mulliner a découvert que le virus était légèrement différent de celui qu'il avait découvert en 2008, mais pense avoir découvert comment il fonctionne..

Les applications devraient demander en premier

Le bogue commence pour la première fois lorsqu'un utilisateur de l'iPhone clique sur un lien malveillant publié dans des applications telles que Twitter et LinkedIn, qui utilisent le composant iOS WebView pour ouvrir une page Web intégrée à l'application plutôt qu'un navigateur externe comme Safari ou Chrome..

Le lien amène l'utilisateur à une page Web qui oblige l'iPhone à composer le numéro qui y est incorporé et la page se recharge à plusieurs reprises, gelant l'appareil et rendant impossible l'annulation de l'appel..

La raison pour laquelle l'iPhone est obligé de composer le numéro est parce que les liens de ces applications sont ouverts par WebView qui compose automatiquement les numéros intégrés, contrairement à Safari qui a résolu l'itération précédente du bogue en demandant à l'utilisateur via une fenêtre contextuelle s'il le souhaite. composer d'abord un numéro.

Exploiter le bogue dans les centres d'appels DoS 911 est certes terrible, mais Mulliner met en garde que ce n'est pas la seule utilisation possible, suggérant que de tels liens pourraient également amener les utilisateurs vers des pages Web contenant des numéros 900 coûteux, ce qui permettrait aux attaquants de gagner de l'argent.

Il a même émis l'hypothèse qu'un harceleur pourrait envoyer à sa victime un lien contenant son propre numéro afin de forcer un appel qui lui fournirait ensuite le numéro de la victime..

Dans un article de blog, Mulliner indique qu'il a signalé le bogue à Apple, mais a également contacté LinkedIn et Twitter pour faire part de ses conclusions, estimant que les développeurs d'applications au moins pourraient revoir leur utilisation de WebView jusqu'à ce qu'Apple puisse modifier son comportement par défaut. Nous espérons qu'ils émettent un correctif rapidement, il ne semble pas que ce nuage ait une doublure en argent.

Mulliner a posté une vidéo du bug en action, que vous pouvez regarder ci-dessous:

  • Ce sont les meilleures offres iPhone 7 disponibles pour le moment