新浪科技訊 北京時(shí)間8月26日上午消息，安全人員日前發(fā)現(xiàn)了iPhone中的一個(gè)最新漏洞，可以在用戶查看惡意信息時(shí)自動(dòng)撥打電話，而不被用戶發(fā)現(xiàn)。

　　移動(dòng)設(shè)備中的電話號(hào)碼經(jīng)常以鏈接的形式出現(xiàn)，這其實(shí)是使用了一種名為“tel”的統(tǒng)一資源標(biāo)示符(URI)機(jī)制來(lái)觸發(fā)通話。URI機(jī)制涵蓋很多內(nèi)容，可以告訴計(jì)算機(jī)到哪里尋找特定資源，包括在點(diǎn)擊電子郵件地址時(shí)啟動(dòng)郵件應(yīng)用。

　　而丹麥無(wú)線流媒體公司Airtame開(kāi)發(fā)者安德烈·尼庫(kù)拉辛(Andrei Neculaesei)表示，多數(shù)原生移動(dòng)應(yīng)用處理電話號(hào)碼的方式蘊(yùn)含著風(fēng)險(xiǎn)。

　　當(dāng)用戶在蘋果的Safari瀏覽器中點(diǎn)擊一個(gè)電話號(hào)碼時(shí)，瀏覽器會(huì)彈出窗口，詢問(wèn)用戶是否愿意撥打電話。但很多原生移動(dòng)應(yīng)用卻會(huì)在不向用戶詢問(wèn)的情況下直接撥打電話。雖然也可以通過(guò)配置來(lái)顯示警告信息，但多數(shù)應(yīng)用都關(guān)閉了這一功能。

　　這一漏洞并不局限于一款應(yīng)用或一個(gè)開(kāi)發(fā)者。Facebook Messenger、Gmail、Google+都可能成為犧牲品，而其他知名度較低的應(yīng)用也可能面臨類似的問(wèn)題。

　　尼庫(kù)拉辛已經(jīng)發(fā)現(xiàn)了一種方法來(lái)濫用這種功能。他開(kāi)發(fā)了一個(gè)包含JavaScript腳本的網(wǎng)頁(yè)，一旦用戶打開(kāi)網(wǎng)頁(yè)，便可促使移動(dòng)應(yīng)用觸發(fā)通話。另外，他還演示了通過(guò)Facebook Messenger發(fā)送惡意鏈接，從而觸發(fā)通話的過(guò)程。

　　尼庫(kù)拉辛表示，不法分子可以借此誘使用戶撥打昂貴的收費(fèi)電話，從而牟取暴利。他的測(cè)試表明，F(xiàn)acebook Messenger、蘋果Facetime、谷歌Gmail和Google+應(yīng)用都不會(huì)在撥打電話前向用戶發(fā)出警告。

　　Facebook和谷歌尚未對(duì)此置評(píng)。(鼎宏)