O iOS é provavelmente uma das plataformas móveis mais seguras. É verdade que, aquando do lançamento de novas versões, são normalmente encontrados, pelos utilizadores, vários bugs. Mas a Apple também rapidamente os corrige.

No entanto, um artigo agora publicado no site algorithm.dk mostra como é fácil uma aplicação como o G+, Gmail, FB Messenger “ajudar” a realizar chamadas de valor acrescentado sem a autorização do utilizador.





O principio deste “hack” é muito simples. Como sabemos, na “linguagem da Web”, podemos facilmente incluir um link num texto para sermos redireccionados para outro site. Foi com base nesse principio e depois de ler alguns RFCs que o autor do site algorithm.dk fez uma descoberta… interessante e ao mesmo tempo perigosa. Com um simples link, o iOS pode efectuar chamadas de valor acrescentado.
Como tudo funciona?

Na prática, o link usado no hack tem associado um script em javascript capaz de levar o iOS a realizar uma chamada para um número pré-definido.



Como sabemos, no caso dos números de valor acrescentado, basta que a chamada seja efectuada e atendida do outro lado para que o utilizador comece logo a pagar. Vejam o resultado do hack no .GIF seguinte.

Nota: No site algorithm.dk podem ver exemplos para outras aplicações.



De acordo com o que é referido pelo autor do site, a culpa não é da Apple até porque a gigante de Cupertino tem este tipo de situações documentadas (ver aqui), podendo o programador incluir tal “funcionalidade” nas suas aplicações.



Homepage: RTFM 0day in iOS apps: G+, Gmail, FB Messenger, etc.