Bir güvenlik araştırmacısı, iOS WebView'da bulunan bir açıkla iPhone'a istediği numarayı aratmanın bir yolunu buldu. Arama otomatik olarak gerçekleşiyor ve üstelik telefonun arayüzü kilitlendiğinden, iptal edemiyorsunuz.
2008'de benzer bir açığı iOS 3'teki Safari'de bulan Collin Mulliner, aynı soruna bir kez daha göz atmaya karar vermiş. Mulliner, bu karara bir gencin iOS'taki bir açık yoluyla 911 çağrı merkezlerini aratıp tutuklanmasından sonra vardığını söylüyor. Mulliner, sorunun 2008'de keşfettiğinden biraz farklı olduğunu ancak nasıl çalıştığını muhtemelen keşfettiğini belirtiyor.
Açığın etkin hale gelmesi için zararlı bağlantıya Twitter ve LinkedIn gibi uygulamalar üzerinden tıklanması gerekiyor. Bu uygulamalar, web sayfalarını harici bir tarayıcı yerine iOS WebView bileşeni yardımıyla gösteriyorlar. Bağlantı, iPhone'u numara çevirmeye zorlayan bir sayfaya yönlendiriyor ve sayfa durmaksızın yeniden yüklendiğinden, aramayı iptal edemiyorsunuz.
Safari'nin aksine, VebView üzerinden numaraları otomatik çevirmek mümkün oluyor. Mulliner'e göre bu yolla sadece 911 çağrı merkezleri değil, pahalı 900'lü numaralar da aranabilir ve saldırganlar, bu yolla para kazanabilir.
Mulliner, blog gönderisinde sorunu Apple'a bildirdiğini; bunun yanında LinkedIn ve Twitter'a da başvurduğunu, bu uygulamaların geliştiricilerinin WebView'un nasıl kullanıldığını yakından inceleyebileceklerini ve varsayılan davranışı değiştirebileceğini söylüyor.