App 漏洞让 iPhone 可以未经许可自动拨打电话（凝视账单）

zq292033

手机的使用者们应该都曾受惠于直接点击，便能拨打电话的 URI（Uniform Resource Identifier）链接的便利性。但你可曾想过假若这项功能，被恶意利用在欺骗的网页链接之上会有什么后果？如果是一串数字的电话号码的话，多少还可以看出是要打去哪里，但如果把链接藏在普通的文字或图片链接中（例如「下载」），然后自动拨打给付费电话号码的话，那就当冤大头了。

一位来自 Airtame 公司的开发者 Andrei Neculaesei 发现，尽管 Safari 浏览器会在拨打电话前会询问，但其余应用包括 Facebook Messenger、Gmail、Google+ ，都不会在拨打前进行警告。而在 Andrei 更深入研究下，发现这样的「tel」链接漏洞，还有可能可能通过 Header 自动转址，允许手机自动播打可疑电话的机会。所以，在 Apple 甚至是几间公司释出修补之前，我们只能希望这样的漏洞不要被有心人士给利用了。