Как часто случается ситуация, когда пользователь открывает ссылку, присланную другом в Facebook, Google+ или Gmail, а затем занимается другими делами, не дождавшись ее полной загрузки? В масштабах планеты — как минимум нередко, а это серьезный повод задуматься о следующей проблеме. Речь идет о ссылках «tel», позволяющих совершать звонки прямо из браузера или посредством webView любого приложения. Дело в том, что штатный web-обозреватель Safari не позволяет программе переходить непосредственно к набору номера, пока пользователь не подтвердит действие в специальном всплывающем окне.
Однако для сторонних приложений такая защитная функция не предусмотрена. Автор, обнаруживший данную уязвимость, отмечает, что этот нюанс подробно описывается в технической документации Apple, а значит компания фактически снимает с себя всю ответственность за возможные последствия.
When a user taps a telephone link in a webpage, iOS displays an alert asking if the user really wants to dial the phone number and initiates dialing if the user accepts. When a user opens a URL with the tel scheme in a native app, iOS does not display an alert and initiates dialing without further prompting the user.
Проблема заключается в том, что даже такие сервисы как Facebook Messanger, Google+ и Gmail (не говоря о более мелких компаниях) не сочли нужным добавить собственное уведомление для подтверждения действия при обработке ссылок «tel». Впрочем, до этого момента все смотрится более-менее безобидно — вы кликаете по ссылке, переходите на страницу, которая, в свою очередь, содержит ссылку «tel», и только после клика на нее начинается набор номера. Однако при помощи нехитрого Java-скрипта, автор публикации создал страницу с «самокликающейся» ссылкой, то есть, фактически реализовал прямой редирект — кликаете ссылку в сообщении и визуально ваш iPhone сразу же переходит к набору номера. Выглядит это следующим образом:
Насколько опасна такая уязвимость? В теории — весьма и весьма, при помощи платных номеров и объемной базы взломанных аккаунтов (которую в наше время приобрести вовсе несложно) злоумышленники смогли бы заработать миллионы долларов, получая прибыль с каждого зазевавшегося пользователя. Иное дело, что скрыть финансовые следы такой аферы в крупных масштабах довольно сложно, что, скорее всего, до сих пор и сдерживало любителей не совсем честного интернет-заработка.