Ошибка в iOS-устройствах может деанонимизировать пользователей социальных сетей

Ошибка в iOS-устройствах может деанонимизировать пользователей социальных сетей

Проблема связана с особенностями обработки ссылок в мобильной операционной системе.

Исследователи сообщают, что пользователей iOS-устройств можно деанонимизировать и идентифицировать, использовав особою схему кодинга, затрагивающую Facebook, Google, Twitter и ряд прочих сайтов.

Проэксплуатировав уязвимость в данной схеме, злоумышленники могут отправить жертве SMS или сообщение через Facebook, Google Plus, Gmail или Twitter, которое при открытии вынуждает телефон пользователя совершить звонок без подтверждения действия.

С помощью этой бреши также можно инициировать звонок через FaceTime. Если жертва не успеет разорвать связь, злоумышленник сможет увидеть ее лицо.

Опасность заключается в том, что от жертвы не требуется подтверждать свои действия. Все действия киберпреступников могут выполниться в автоматическом режиме.

В Apple уже знают об этой проблеме. В документе, описывающем уязвимость, представители компании рассказали, что, когда пользователь переходит по телефонной ссылке на web-странице, iOS уведомляет пользователя о попытке совершить звонок и просит его подтвердить действие. Когда пользователь открывает URL-ссылку с телефонным кодом в iOS-приложении, система совершает звонок без отображения предупреждения».

О проблеме стало известно после того, как исследователь безопасности Рави Боргонкар (Ravi Borgaonkar) предположил , что разработчики Facebook и Google невнимательно прочитали руководство для разработчиков iOS-приложений.

Боргонкар разместил материал, демонстрирующий, как с помощью Facebook можно проэксплуатировать эту уязвимость. Он сообщил, что протестировал ее лишь на нескольких крупных приложениях и у него почти нет сомнений в том, что более мелкие разработчики также допустили похожие ошибки.

Впервые о подобных уязвимостях стало известно в 2010 году. Тогда выяснилось, что с помощью специальных iframe-элементов можно совершить звонок по Skype без ведома пользователя.

С пояснением Apple можно ознакомиться здесь .

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!