Muy pronto Facebook publicará una actualización para su aplicación de Messenger en la plataforma iOS con el fin de parchar una vulnerabilidad que permitiría a los atacantes realizar llamadas por cobrar desde el teléfono del usuario al simplemente visitar un enlace.

El fallo ha sido descubierto recientemente por el desarrollador Andrei Neculaesei, quien reside en Copenague. Neculaesei asegura que el error se provoca al utilizar la URL con formato tel.

"Esta URL se utiliza para lanzar la aplicación del teléfono en dispositivos iOS e iniciar un marcado al número de teléfono especificado", explica un manual de Apple. "Cuando un usuario toca un enlace telefónico en una página, iOS muestra una alerta preguntando si el usuario realmente desea marcar al número e iniciar la llamada. Cuando un usuario abre un enlace utilizando la URL tel en la aplicación del telefono, entonces iOS no indica alerta alguna y marca sin preguntar al usuario."

Neculaesei asegura que todas las aplicaciones pueden ser configuradas para mostrar sus propias alertas, sin embargo muchos desarrolladores no lo hacen. Neculaesei se dio a la tarea de investigar algunas aplicaciones, como Facebook Messenger, Gmail o Google+ y descubrió que ninguna implementa la verificación y por lo tanto fueron vulnerables a la prueba de concepto que desarrolló. Además de estas aplicaciones, Neculaesei también intentó con la aplicación de Apple, Facetime, la cual utiliza una URL del mismo formato y determinó que los atacantes podrían ver la cara, ubicación e identidad del usuario al que están llamando.

Este fallo también fue demostrado en vivo por el consultor Guillaume Ross, en su plática de la pasada BSidesLV 2014.