2016/11/11

Bug no iOS deixa fazer telefonemas automáticos repetidos quando se clica num link


Há um bug no iOS que permite abusar do sistema de telefonemas quando se clica num link, e que faz chamadas automaticamente sem que o utilizador tenha oportunidade de as cancelar rapidamente.

É um bug que já levou à detenção de um jovem que partilhou um link no Twitter que fazia as vítimas ligarem repetidamente para o serviço de emergência (911) e que acabou por quase entupir os centros de atendimento, mas que pode ser utilizado para fazer telefonemas para qualquer numero.

A técnica utilizada é a de apresentar o link para fazer uma chamada, mas de seguida fazer refresh repetidamente da página ou abrindo outras apps, o que paralisa momentaneamente o interface do iOS e impede que os utilizadores tenham oportunidade de cancelar o telefonema (enquanto tentam perceber o que se passa e tratam de regressar ao menu principal e daí aceder à chamada para a cancelar). Curiosamente, este é um bug que a Apple já resolveu há muitos anos (no iOS 3) mas apenas para o iOS, esquecendo-se de tratar dele nas WebViews, que permitem integrar o browser dentro de outras apps (como quando se clica num link dentro da app do Twitter, Facebook, etc.)

Para além do potencial para abuso ao partilhar links que façam chamadas para os serviços de emergência, a mesma táctica também pode ser usada para conseguir o número de telefone das "vítimas". Por exemplo, enviando o link para a pessoa em questão, fazendo com que o seu telefone ligue automaticamente para o seu (ou preferencialmente, para um número descartável que se tenha para o efeito) e assim ficando com o registo do número da pessoa.

Não deverá ser complicado para a Apple corrigir o problema; bastando que quando um link inicia uma chamada, garantir que o interface do telefone permanece visível durante tempo suficiente para permitir o cancelamento da chamada, e impedir que a mesma app/página possa iniciar repetidamente chamadas telefónicas consecutivamente num curto espaço de tempo.


9 comentários:

  1. Em que aplicações do iOS isso se manifesta?

    Pois...

    ResponderEliminar
    Respostas
    1. Em todas que recorram a WebViews....

      Eliminar
    2. Do iOS? Nenhuma aplicação da Apple ainda recorre a WebViews para páginas da Internet...

      Eliminar
    3. Embora o recomendável seja utilizar o Safari View Controller para a apresentação de conteúdos web nas apps recentes, não significa que o risco não continue a estar presente em apps que ainda usem as WebViews.

      Eliminar
    4. Tipo as UIWebViews foram substituídas por WKWebViews e SFSafariViewController, não há desculpa.

      As UIWV foram feitas e são recomendas para conteúdos controlados, não para navegar na internet "brava", mas continuam a bater na mesma tecla!

      Nos outros dois casos, isso não acontece.

      Eliminar
    5. Não há desculpa para haver maus programadores a fazer apps para iOS? (Ou até bons programadores a fazer más apps?)
      :)

      Bem, sendo a App Store uma loja controlada, quando muito podes apontar as críticas a quem faz a aprovação das apps, que não deveria ter deixado passar as "apps mal feitas".

      De referir que também no Android tens a plataforma a ser muitas vezes culpada de coisas de que não tem culpa, e que se tratam de apps mal feitas - e no fundo, apps e programas mal feitos são um mal geral em todas as plataformas (veja-se ainda o recente caso do Spotify a fazer gigabytes de writes sem necessidade nenhuma.)

      Eliminar
    6. Ninguém culpou a versão Android do Spotify.

      O iOS é uma loja controlada, mas ai se uma aplicação é banida por isso, cai o Carmo e a Trindade, especilamente porque facebooks e etc usam UIWebViews por razões de tracking que eles não podem fazer com WKWV muito menos com SFSVC

      Eliminar
    7. PS: também só há um browser oficial no iOS. Bem sabes. Essa falha não afecta o Safari.

      Eliminar
  2. Estou a imaginar alguem por um número de valor acrescentado nos links, é só facturar

    ResponderEliminar