Los desarrolladores de iOS que han incorporado la WebView de Apple en aplicaciones móviles deben estar conscientes de una falla existente que podría permitir realizar llamadas telefónicas a un número elegido por el atacante.

El investigador Collin Mulliner dijo que explotar la vulnerabilidad es trivial y requiere como mínimo una línea de código HTML. Los riesgos para el usuario incluyen el incremento de cargos a números premium, o peor aún, ataques de denegación de servicio similares al de la semana pasada que provocó el encarcelamiento de un hombre en Arizona por un exploit que compartió en YouTube y permitió a usuarios inundar de llamadas los centros de llamadas del 911 con un solo clic.

Mulliner dijo que las aplicaciones populares de iOS tales como Twitter y LinkedIn son vulnerables a ataques; el investigador dijo que también probó con Facebook, WhatsApp, Snapchat y Yelp, y ninguna de estas aplicaciones fueron vulnerables. Mulliner advirtió, sin embargo, que analizó aplicaciones muy populares de iOS, y es probable que haya un número mucho mayor de aplicaciones vulnerables.

"Hay muchos otros servicios de mensajería instantánea y otras tantas aplicaciones de medios sociales que podrían ser potencialmente vulnerables", dijo Mulliner. "Cualquier aplicación que tenga un WebView en su aplicación donde se pueda cargar una URL enviada por un usuario a la aplicación es potencialmente vulnerable. Es absolutamente simple. Cualquier persona puede hacerlo. "

Mulliner hizo un anuncio público, después de que una notificación privada a Twitter resultó primero en una aceptación rápida del problema y luego una nota concisa que decía que esto era un tema duplicado y el ticket estaba cerrado. También trató de revelarlo al programa de recompensas por fallos de LinkedIn, pero se enteró de que era un programa privado y que alguien de su equipo de seguridad investigaría. Apple también reconoció un informe de Mulliner y también dijo que investigaría.

Para explotar la vulnerabilidad, un atacante simplemente tendría que enviar un enlace a la víctima que lo redireccionaría a un sitio que hospeda el código HTML del atacante. El código iniciaría una llamada a través del marcador del dispositivo, que es similar a un error que Mulliner reportó a Twitter en 2008. Mulliner también dijo que se puede evitar que el usuario termine la llamada utilizando una segunda aplicación sobre la pantalla principal para cubrir el marcador. En un informe publicado, Mulliner dijo que su antiguo código aún funcionaba. "Una línea de HTML iniciará la llamada, 10 líneas ocultarán el ataque", dijo.