Uno sviluppatore, Andrei Neculaesei, ha scoperto che molte app per iOS non rispettano le linee guida imposte da Apple relative alla funzionalità che permette di effettuare chiamate telefoniche cliccando il numero mostrato in una pagina web. Un malintenzionato potrebbe, ad esempio, sfruttare Facebook Messenger per avviare una chiamata automatica senza il controllo dell’utente. Basta uno squillo per addebitare la spesa sulla bolletta o ridurre il credito telefonico.
Neculaesei ha scelto un acronimo molto chiaro – RTFM (Read The Fucking Manual) – per sottolineare il fatto che gli sviluppatori delle app di terze parti non leggono la documentazione di Apple. In modo analogo alle URI “http” e “mailto”, usate per i link che permettono di aprire il browser e il software di posta elettronica, la URI “tel” consente di effettuare una chiamata telefonica. iOS gestisce questo tipo di link in due diversi modi. Se l’utente clicca sul numero mostrato in Safari, viene visualizzato un avviso che chiede se si vuole effettivamente avviare la chiamata. Se invece il link viene inviato tramite Facebook Messenger, Google+ o Gmail, non viene mostrato nessun warning e la chiamata parte in automatico, quando l’utente clicca sul numero.
Anche l’utente più attento potrebbe cadere nella trappola. Neculaesei sottolinea infatti che basta creare una pagina web contenente un codice JavaScript che avvia automaticamente la chiamata quando la pagina viene aperta. iOS mostrerà la schermata dell’app Telefono e verrà addebitata immediatamente la chiamata (è sufficiente uno squillo).
Apple è responsabile di questa falla di sicurezza? Neculaesei sostiene che l’azienda di Cupertino non ha colpe. Nella documentazione, che gli sviluppatori dovrebbero leggere, è scritto chiaramente che “un’app nativa può essere configurata per visualizzare il proprio alert”.