Beveiligingsexperts van het bedrijf SPI Labs waarschuwen iPhone gebruikers om geen gebruik te maken van de speciale functie die het mogelijk maakt om telefoonnummers op het internet te bellen via de Safari Browser op de iPhone.
De functie zit op de iPhone om gebruikers de mogelijkheid te geven om op een eenvoudige manier telefoonnummers op websites te bellen. Volgens SP Labs is er echter een mogelijkheid om deze functie te misbruiken, bijvoorbeeld door de telefoon dure nummers te laten bellen, bij te houden welke nummers iemand belt, uitgaande gesprekken te blokkeren of de iPhone juist constant te laten bellen.
Om de aanval succesvol te laten zijn moeten kwaadwillenden een iPhone gebruiker verleiden om een kwaadaardige website te bezoeken. Een andere mogelijkheid is het nabootsen van een legitieme website, die ondertussen toch code naar de iPhone stuurt, een methode die bekend staat als cross-site scripting. SPI heeft geen details vrijgegeven over haar bevindingen, maar heeft op 6 juli contact opgenomen met Apple. Beide bedrijven werken momenteel aan een oplossing voor het probleem.
Onderzoekers waren er eerder al achtergekomen dat de Safari browser misbruikt zou kunnen worden om verkeerde nummers te bellen, maar de bevindingen van SPI Labs laten zien dat dit veel makkelijker is dan eerst werd gedacht. Niet iedereen is echter onder de indruk van de waarschuwing van SPI Labs, waaronder Immunity CTO Dave Aitel. "Als je telefoonnummers kan draaien vanuit de browser, dan kun je logischerwijs ook nepgesprekken initiëren vanuit die browser. Moeten iPhone gebruikers dan stoppen met het bellen vanuit de browser? Ja, maar alleen als ze een hoop hackers kennen en een interessant doel zijn voor hackers", aldus Aitel.