SPI Labs: Ostrożnie z iPhone'em

Specjaliści z firmy SPI Labs odradzają posiadaczom iPhone'ów korzystanie z funkcji Web Dialer - ich zdaniem, może ona zostać wykorzystana przez przestępców do okradania użytkowników. Firma powiadomiła już o problemie koncern Apple i wspólnie z nim pracuje nad jego rozwiązaniem.

Web Dialer to narzędzie, umożliwiające użytkownikom iPhone'ów łatwe i szybkie wybieranie numerów telefonów znalezionych na stronach WWW (może ono być przydatne np. gdy wyświetlimy na ekranie urządzenia witrynę restauracji i zechcemy od razu do niej zadzwonić). Specjaliści z SPI twierdzą jednak, że funkcja ta zawiera błąd, dzięki któremu może ona zostać wykorzystana do okradania użytkowników.

Błąd ów umożliwia stworzenie strony, na której opublikowany zostanie fałszywy numer telefonu - może wtedy dojść do sytuacji, w której użytkownik będzie sądził, iż dzwoni pod numer A, podczas gdy tak naprawdę urządzenie połączy się z numerem B. Co więcej, luka umożliwia ingerencję w ustawienia urządzenia - SPI twierdzi, iż "napastnik" może zmienić konfigurację Web Dialera tak, by urządzenie raz za razem wybierało ten sam numer. Jeśli będzie to numer o podwyższonej płatności, posiadacz urządzenia może stracić całkiem poważną sumę.

"Ten błąd można wykorzystać za pośrednictwem strony WWW - a to znaczy, że każdy, kto korzysta z iPhone'a, jest potencjalnym celem" - komentuje Billy Hoffman z SPI Labs. Aby przeprowadzić taki atak, przestępca musi jedynie zwabić użytkownika na specjalnie spreparowaną stronę WWW - a to, jak twierdzi Hoffman, nie jest trudnym zadaniem (wystarczy wysłać do użytkownika odpowiednio sformułowany e-mail).

Przedstawiciele SPI nie ujawnili jak na razie żadnych szczegółowych informacji na temat problemu - firma przekazała wszelkie dane na ten temat koncernowi Apple, który pracuje obecnie nad rozwiązaniem problemu.

Warto wspomnieć, że inni specjaliści już wcześniej sugerowali, że funkcja Web Dialer może zostać wykorzystana do atakowania iPhone'a - jednak dopiero specjaliści z SPI odkryli (jak twierdzą), skuteczną metodę przeprowadzenia takiej operacji.

Więcej o Apple iPhone:
- iPhone nie dla biznesu?
- iPhone: mobilna rewolucja?