Il bug 911 di iOS costringe gli iPhone a chiamare ripetutamente il 911

Table Of Contents

• Il bug dell’iPhone del 2008 fa un ritorno, costringe gli iPhone a chiamare ripetutamente il 911
• Il bug in azione

Il bug dell’iPhone del 2008 fa un ritorno, costringe gli iPhone a chiamare ripetutamente il 911

Un adolescente degli Stati Uniti è stato arrestato per aver diffuso un URL accorciato di Google su Twitter che ha causato agli iPhone di chiamare ripetutamente la sala di controllo della polizia al 911. L’adolescente, Meet Desai, ha utilizzato un bug in iOS che ha fatto sì che gli iPhone chiamassero ripetutamente il 911.

Il bug in azione

Il bug funziona dopo che gli utenti cliccano su un link che costringe un iPhone a comporre un numero predefinito (come il 911) e poi aggiorna la pagina o apre più app per congelare l’interfaccia utente del dispositivo. Questo rende quasi impossibile annullare la chiamata. Il bug è stato scoperto dal ricercatore di sicurezza Colin Mulliner che ha trovato e segnalato un bug intrigante ad Apple.

Il bug utilizza un Chiama ora link analizzato in Safari o altri browser per far sì che l’iPhone effettui chiamate ripetute al 911. I trucchi scoperti da Mulliner includevano l’inserimento di un URL telefonico in un IFRAME, l’utilizzo di un numero di telefono come obiettivo di un aggiornamento o reindirizzamento della pagina web e la modifica dell’URL di una pagina già caricata utilizzando JavaScript. L’URL diffuso da Meet ha causato caos in alcune parti degli Stati Uniti quando gli utenti hanno cliccato sul link ignaro, causando un’inondazione di chiamate al 911. Il centro chiamate del 911 ha ricevuto un centinaio di chiamate “in pochi minuti”, secondo una dichiarazione dell’ufficio dello sceriffo della contea di Maricopa.

Apple ha risolto il bug dopo che Mulliner lo ha segnalato nel 2008, ma sorprendentemente è riemerso in iOS 10. Mulliner ha scoperto il bug quando Apple aveva rilasciato iOS 3 e i successivi rilasci di iOS fino a iOS 9 non ne erano stati colpiti. Ma ora Meet Patel ha scoperto che il bug può essere sfruttato in iOS 10 e ha creato il link accorciato sopra che fa sì che gli iPhone chiamino ripetutamente il 911.

Secondo il blog di Mulliner, Hiteshbhai ha utilizzato pesantemente JavaScript per costringere gli iPhone a richiamare numeri specifici. Tuttavia, esattamente come ha fatto il ragazzo non sarà rivelato per motivi di sicurezza.

Il problema risiede in un componente del browser chiamato WebView. I componenti WebView gestiscono in modo errato i link telefonici degli URI TEL incorporati nelle pagine web, facendo sì che lo smartphone componga automaticamente i numeri se il link viene cliccato in WebView. Gli aggressori possono impostare qualsiasi numero a loro scelta e far comporre ai telefoni delle persone quei numeri.

La correzione di Apple per Safari fa sì che il browser confermi tramite un pop-up se l’utente desidera effettuare la chiamata. Tuttavia, Twitter e LinkedIn devono ancora affrontare il problema, almeno pubblicamente.