Een nieuwe, maar ook oude bekende bug zorgt ervoor dat het vanuit bepaalde iOS-apps mogelijk is een telefoonnummer te bellen zonder interactie van de gebruiker. Het openen van een link is genoeg. Bovendien wordt de telefoon even geblokkeerd.

Deze bug waarbij via een webpagina een telefoonnummer ingeladen wordt, werd in 2008 al door Apple in Safari gefikst, maar dit blijkt niet voor alle in-app browsers van bijvoorbeeld de Twitter- of LinkedIn-app te gelden.

Eerst vragen, dan bellen Onderzoeker Collin Mulliner beschrijft het probleem met de zogenaamde WebView. Als een link een bel-commando wil uitvoeren, moet de gebruiker dit eerst bevestigen. Deze maatregel werd door Apple al in iPhone OS 2.0 uit 2008 ingevoerd, maar als een app de WebView niet correct implementeert, gaat het alsnog fout. Niet alle apps maken deze fout, maar Mulliner kon de fout in zowel de Twitter- als LinkedIn-app verifiëren.

De werking is vrij simpel: de pagina vernieuwt zichzelf na 1 seconde en roept een “TEL” commando aan dat ook voor legitieme doeleinden gebruikt kan worden. Op de achtergrond zorgt een stukje javascript ervoor dat de telefoon een sms naar een gigantisch lang nummer wil sturen, wat voornamelijk oudere toestellen even niet laat reageren.

Zelf testen Zelf testen of een app die je gebruikt kwetsbaar voor deze bug is? Wij hebben de code verwerkt in een html-pagina die automatisch Apple Support op een Nederlands 0800-nummer belt. Stuur deze link naar jezelf en open ‘m in de in-app browser. Twitter voor iOS geïnstalleerd? Dan zou deze tweet in de app moeten openen.

Volgens Mulliner is het aan Apple om de WebView zodanig te verbeteren dat ook apps met een slechte implementatie niet door deze bug getroffen zijn. Hij heef Twitter en LinkedIn op de hoogte gesteld. Dat het geen onschuldige bug is, blijkt uit een zaak in de VS waar een onderzoeker is opgepakt toen hij door deze methode te delen per ongeluk een noodnummer platlegde.

Broncode van de proof of concept-pagina – Klik/tap voor groter.