指摘した研究者によれば、ユーザーがアプリで受信したメッセージなどのリンクをクリックするだけで自動的に電話がかかり、画面には何も表示されないため電話を切ることもできない。
AppleのiOS向けアプリに使われているHTMLコンテンツ表示機能の「WebView」について、任意の電話番号へ自動的に電話をかけさせる攻撃に使われる可能性があることが分かったという。セキュリティ研究者が11月8日のブログで実証ビデオなどを公開した。
セキュリティ研究者コリン・ムリナー氏のブログによると、この問題は極めて簡単に悪用でき、画面表示を一時的にブロックして被害者が電話を切ることをできなくさせる方法もあるという。
原因については「OS/フレームワークのデフォルトの問題に起因するアプリケーションの不具合と思われる」と解説している。
ムリナー氏は最初、iOSのTwitterアプリで問題を発見して同社に通報。Twitterもこの現象を確認して修正したという。しかしムリナー氏がさらに詳しく調べたところ、これはWebViewsを使っているiOSアプリに共通する問題と見られることが分かった。
影響を受けるのは、ユーザーが受信したメッセージなどのリンクをアプリ内でWebViewを使って開く機能のあるアプリ。SafariやChromeでリンクを開くアプリは影響を受けないという。
ムリナー氏のブログでは、iOSのTwitterアプリとLinkedInアプリでリンクをクリックするだけで自動的に電話がかかってしまう様子を示した実証ビデオを公開した。電話がつながった後、iPhoneの画面には何も表示されなくなり、画面をタップしても電話を切ることができない。
同氏はWebViewsを使っているiOSアプリの開発者に対し、自分のアプリが影響を受けるかどうかを確認し、脆弱性のあるアプリは修正するよう呼び掛けている。Appleにも連絡を取ったといい、再発防止のためにはAppleがWebViewsのデフォルトの挙動を変更する必要があると指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.