iPhone的一个安全漏洞可以被用来自动拨打电话

开发人员Andrei Neculaesei发现，一些应用程序恶意编码的链接会滥用“电话”网络处理程序，当你查看智能手机上的信息时，会自动拨打高级电话号码，从而导致话费上涨。

哥本哈根无线流媒体公司Airtame的Andrei Neculaesei表示，大多数本地移动应用程序处理电话号码的方式存在风险。电话号码通常以链接的形式出现在移动设备上，可以通过统一资源标识符(URI)方案“tel”来触发呼叫。如果用户在苹果的移动Safari浏览器中点击一个电话号码，就会弹出一个弹出窗口，询问用户是否想继续通话。

Neculaesei在他的博客中写道:“当用户点击网页上的电话链接时，iOS就会显示一个警告，询问用户是否真的想拨打这个电话号码，如果用户接受，就会开始拨号。”“当用户在本地应用程序中打开带有tel模式的URL时，iOS不会显示警报，并在没有进一步提示用户的情况下发起拨号。”

他继续说，“所以如果我在Safari中点击这个链接，我就会得到提示，要求我确认我的操作，如果我在本地应用程序的webView中点击这个链接，它不会询问并立即执行这个操作(发出调用)。”

他还说，这一漏洞并不局限于任何一个应用程序或开发者。Gmail、Facebook Messenger、谷歌+甚至是一些不太知名的应用程序都成为了攻击的目标。Neculaesei在他的博客中表示，苹果可以通过要求所有电话链接的提示来缓解这一问题。本月初，Neculaesei在拉斯维加斯举行的Bsides安全会议上展示了他的研究成果。

早些时候，研究人员发现Android系统存在一个安全漏洞，恶意网站可以自动拨打付费电话号码。研究人员还发现了安卓系统的一个漏洞，该漏洞允许恶意软件控制你的智能手机摄像头，并在未经用户许可的情况下将图片上传到一个未知的服务器上。