Resucita el bug de la autollamada para iPhone ocho años después

ActualidadSmartphonesiPhone

Resucita el bug de la autollamada para iPhone ocho años después

ios-dialHace ocho años, el investigador Colin Mulliner encontró e informó de un curioso bug a Apple. Aunque el problema se localizaba en Safari para iOS, la vulnerabilidad implicaba llamadas telefónicas no deseadas, debidas a un tipo de enlaces en Internet que usan URLs que comienzan por tel:.

Os explicamos como funciona. Las páginas web normalmente contienen enlaces HTML semejantes al siguiente

<A HREF=”https://sophosiberia.es/“>Visita Sophos Iberia</A>

La “A” y la “/A” indican el comienzo y el fin de un Ancla, lo que convierte al texto que se encuentra en el medio en un enlace.

HREF significa Hypertext REFerence, lo que con otras palabras significa un enlace a otro recurso., mientras que el HTTPS indica que utilizaremos el protocolo HTTPS para obtener ese recurso.

Pero también puede haber un enlace con el siguiente formato.

<A HREF=”tel:+441632960042”>Llama ya</A>

En esta ocasión empleamos el prefijo tel: en vez de HTTPS, lo que significa que llamaremos al +441632960042 cuando pinchemos en “llama ya” siempre que el dispositivo desde el que naveguemos disponga esa posibilidad.

Por ejemplo, desde Safari en un smartphone, al hacer clic en el enlace de arriba, aparecerá un popup como el siguiente, por lo menos la primera vez que realices una llamada:

ios2k8-allow

Si escoges “Allow Call” (Permitir llamada), accederás a un dialogo de confirmación del número al que vas a llamar:

ios2k8-call

En 2008, Mulliner descubrió que existían otras maneras de introducir un enlace con tel: en Safari de manera que no saltaran esas ventanas de advertencia.

El truco consistía en introducir el enlace en un iFRAME, y alterar el URL de un página ya cargada usando JavaScript, por una que contuviera el tel:. De esta manera podía conseguir que se llamara a un número cualquiera sin que apareciera ninguna advertencia, con los peligros que esto conllevaría, ya que si no detectabas que se había activado la app de llamada, podías pagar un factura desorbitada si el número que estabas marcando fuese de pago.

Afortunadamente Apple solucionó el problema y a continuación Mulliner hizo publico el bug.

Ocho años después

Cuando Mulliner leyó una noticia sobre que un adolescente americano fue detenido por provocar miles de llamadas automáticas desde iPhones a emergencias, pensó si no se trataría del mismo bug que el había encontrado.

Desafortunadamente la respuesta es si aunque de una manera distinta. iOS dispone de un mini navegador llamado WebView que le permite presentar HTML para navegar por ejemplo en las apps del App Store o mostrar ventanas ayuda.

El problema es que el viejo bug de Mulliner funciona en ese WebView. Es como si Apple corrigiera el problema en Safari pero se olvidara en WebView.

¿Qué hacer?

Mulliner ya ha informado del problema a Apple por lo que seguramente se solucionará con la próxima actualización de iOS. Mientras tanto deberíamos tener mucho cuidado cuando sigamos enlaces en apps que no sean Safari como por ejemplo Twitter o Facebook por si realizamos una llamada sin quereer.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Your email address will not be published.