安全人員日前發現了iPhone中的一個***漏洞，可以在用戶查看惡意信息時自動撥打電話，而不被用戶發現。

[[118879]]

移動設備中的電話號碼經常以鏈接的形式出現，這其實是使用了一種名為“tel”的統一資源標示符(URI)機制來觸發通話。URI機制涵蓋很多內容，可以告訴計算機到哪里尋找特定資源，包括在點擊電子郵件地址時啟動郵件應用。

而丹麥無線流媒體公司Airtame開發者安德烈·尼庫拉辛(Andrei Neculaesei)表示，多數原生移動應用處理電話號碼的方式蘊含著風險。

當用戶在蘋果的Safari瀏覽器中點擊一個電話號碼時，瀏覽器會彈出窗口，詢問用戶是否愿意撥打電話。但很多原生移動應用卻會在不向用戶詢問的情況下直接撥打電話。雖然也可以通過配置來顯示警告信息，但多數應用都關閉了這一功能。

這一漏洞并不局限于一款應用或一個開發者。Facebook、Messenger、Gmail、Google 都可能成為犧牲品，而其他知名度較低的應用也可能面臨類似的問題。

尼庫拉辛已經發現了一種方法來濫用這種功能。他開發了一個包含JavaScript腳本的網頁，一旦用戶打開網頁，便可促使移動應用觸發通話。另外，他還演示了通過Facebook Messenger發送惡意鏈接，從而觸發通話的過程。

尼庫拉辛表示，不法分子可以借此誘使用戶撥打昂貴的收費電話，從而牟取暴利。他的測試表明，Facebook Messenger、蘋果Facetime、谷歌Gmail和Google 應用都不會在撥打電話前向用戶發出警告。　　Facebook和谷歌尚未對此置評。