Een beveiligingslek in de manier waarop iOS-apps met WebViews omgaan zorgt ervoor dat het mogelijk is om de iPhone automatisch een willekeurig telefoonnummer te laten bellen als de gebruiker een ogenschijnlijk onschuldige link opent of website bezoekt. Dat meldt onderzoeker Collin Mulliner.

Naar aanleiding van een nieuwsbericht over een bug in iOS waardoor een tiener naar eigen zeggen onbedoeld een dos-aanval op het Amerikaanse alarmnummer 911 uitvoerde besloot hij op onderzoek uit te gaan. In 2008 had Mulliner namelijk al een soortgelijke kwetsbaarheid ontdekt en aan Apple gerapporteerd. WebViews worden gebruikt voor het weergeven van webpagina's binnen een app.

In het geval van iOS blijkt het mogelijk om via WebViews, als de gebruiker bijvoorbeeld binnen een app een link opent of webpagina bezoekt, de iPhone een telefoonnummer te laten bellen. De gebruiker zal echter zien dat de telefoon-app het opgegeven nummer belt. In 2008 had Mulliner aangetoond dat het mogelijk was om de gebruikersinterface tijdelijk te onderdrukken. Op deze manier kan de gebruiker het telefoongesprek niet annuleren. Diezelfde truc blijkt nu nog steeds te werken.

Volgens de onderzoeker moeten app-ontwikkelaars controleren dat hun app niet kwetsbaar voor deze aanval is. Daarnaast kunnen partijen als LinkedIn en Twitter de links die op hun platformen worden geplaatst op kwaadaardige code controleren. Als laatste wordt Apple aangeraden om het standaard gedrag van WebViews te veranderen, zodat ze niet de bell-app kunnen aanroepen. Het probleem is inmiddels bij Apple gerapporteerd. Hieronder een demonstratie van het probleem.