Các ứng dụng giao tiếp phổ biến như Facebook Messenger, Google+, Facetime hay Gmail... đều có thể bị kẻ xấu lợi dụng buộc chiếc iPhone của bạn phải gọi đến một số điện thoại bất kỳ nào đó mà không cần phải xin phép trước, kết quả là bạn bị tốn tiền cước quốc tế còn kẻ xấu thì được lợi. Lỗ hổng này được phát hiện bởi lập trình viên Andrei Neculaesei, anh đã thử gửi một đoạn mã Javascript đơn giản vào trong Messenger, khi người nhận click vào thì lập tức máy sẽ gọi đến số điện thoại chứa trong đó mà không hiện bảng xin phép người dùng.
Thông thường, nếu bạn gõ trực tiếp số điện thoại vào trong khung chat và gửi đi, người nhận nếu bấm vào đó sẽ thấy xuất hiện một bảng thông báo hỏi có muốn thực hiện cuộc gọi hay không. Đây là tính năng cảnh báo cuộc gọi đã có sẵn trong hệ điều hành iOS nhưng đáng buồn là hầu hết các ứng dụng đều không chú ý tới nó, anh Andrei cho biết.
Tuy nhiên, đối với cả những ứng dụng có bật tính năng này thì thủ thuật của Andrei cũng buộc chiếc máy của bạn phải thực hiện cuộc gọi mà không cần xin phép. Bạn có thể xem hình demo ở đầu bài viết này, Andrei đã viết một đoạn mã Javascript nhỏ và nhúng nó vào một website HTML, sau đó gửi đường link này qua Messenger, khi bấm vào đường link thì hiển nhiên Messenger sẽ mở nó ngay trong giao diện của mình, trong website đó lại có tiếp một đường link thứ hai nhưng đặc biệt ở chỗ nó có thể tự kích hoạt mà không cần bạn phải nhấn vào nữa, gọi là đường link tự nhấn (bên trong có Javascript), và sau đó tự thực hiện cuộc gọi ngay lập tức.
Đoạn mã được Andrei sử dụng để khai thác lỗ hổng
Điều này có nghĩa là nếu bạn vô tình bấm vào một đường link có chứa mã độc trong các ứng dụng kể trên thì nhiều khả năng máy sẽ tự gọi điện thoại ngay mà bạn khó có thể phản ứng lại kịp. Anh Andrei cho biết chỉ mới thử trên các ứng dụng phổ biến, các ứng dụng ít tên tuổi hơn rất có thể cũng bị lạm dụng theo cách tương tự.
Theo PCWorld, Algorithm.dk
