Проблема с WebView позволяет инициировать звонки на iOS
Безопасность Mac OS
На пpотяжении вот уже пяти месяцев (возможно, дольше) приложение Spotify демонстрирует странное поведение, забивая диски пoльзователей десятками гигабайт данных даже в состоянии пpостоя, то есть, когда музыка не проигрывается.

Согласно множественным соoбщениям на Reddit и официальных форумах поддержки Spotify, в отдельных случаях счет идет на терабайты, что сокращаeт срок службы дисков (особенно SSD) даже не на месяцы, но на годы.

Такое поведeние клиенты для Windows, Mac и Linux начали демоРазработчикам продуктов для iOS, внедрившим компонент WebView в мобильные приложения, следует знать об эксплуатируемой уязвимости, открывающей возможность для инициации звонка на любой номер по выбору атакующего. По словам исследователя Колина Маллинера (Collin Mulliner), эксплойт в данном случае тривиален, можно обойтись одной строкой HTML-кода. Для жертвы он может обернуться внушительным счетом за звонки на премиум-номера или, еще хуже, отказом в обслуживании, подобным той ситуации, которую повлек недавно выложенный на YouTube эксплойт, позволяющий за один клик вывести из строя call-центр службы спасения 911. Автор этой публикации, житель Аризоны, уже арестован.

Как обнаружил Маллинер, уязвимость в WebView затрагивает такие популярные iOS-приложения, как Twitter и LinkedIn. Исследователь протестировал также Facebook, WhatsApp, Snapchat и Yelp и выяснил, что его атака им не страшна. Тем не менее данная проблема может касаться многих других, менее распространенных приложений. «Существует множество других мессенджеров и приложений в социальных сетях, которые потенциально могут быть уязвимыми, — говорит Маллинер.

 — Уязвимо любое приложение, использующее WebView для загрузки страниц. Атака предельно проста, ее сможет провести кто угодно». Исследователь предал свою находку гласности после того, как его отчет, направленный в Twitter, вначале быстро вернул подтверждение, а затем последовало лаконичное известие о том, что его отчет — дубль и засчитан не будет. Маллинер также попытался подать заявку в рамках Bug Bounty другой соцсети, LinkedIn, однако ему сказали, что это закрытая программа и проблемой займется ИБ-служба компании.

Представители Apple тоже подтвердили получение отчета от исследователя и заявили, что проведут расследование. Для осуществления атаки нужно лишь отправить жертве ссылку, перенаправляющую на сайт с HTML-кодом злоумышленника. Этот код инициирует телефонный вызов с помощью номеронабирателя на устройстве посетителя — о возможности аналогичной атаки Маллинер предупреждал Twitter еще в 2008 году.

Исследователь также заявил, что пользователю можно помешать, если тот захочет отменить вызов, достаточно будет принудительно запустить другое приложение, которое перекроет номеронабиратель на домашнем экране. В своей блог-записи Маллинер отметил, что его прежний эксплойт-код работает и в этом случае, одна строка HTML запускает номеронабиратель, десять строк помогают скрыть атаку.

«Я думал, эта проблема была решена восемь лет назад, — говорит автор новой находки. — По всей видимости, этого не случилось. Ничего особенного в данном случае не требуется, все прекрасно работает на любой версии iPhone с приложением Twitter или LinkedIn. Никакого специального софта, лишь возможность разместить HTML-страницу». Демонстрацию атаки на приложения Twitter и LinkedIn Маллинер выложил на YouTube: