Facebook正在向其Messenger App推出一个重要的更新,修复了在没有用户同意的情况下允许在没有用户同意的情况下进行潜在昂贵的电话呼叫。

安全缺口是上周由开发人员和德里·尼奇萨塞伊上周发现的。Neculaesei发现Apple的移动IOS有一个漏洞,允许开发人员在单击链接时创建自动拨打电话号码的URL。如果在移动Web浏览器中单击该链接,则会弹出一个消息,询问您是否要继续进行呼叫。但是,“当用户在本机应用程序中使用电话方案打开URL时,iOS不会显示警报并启动拨号而不进一步提示用户”在其开发人员参考指南中写入Apple。

更重要的是,Neculaesei表示,黑客可以在JavaScript中创建自行点击电话链接(或“Tel Links”),因此您的手机会自动调用链接中嵌入的号码,而无需单击它。如果URL连接到高级电话号码,那么在线的另一端的人员就会收取收费。

到目前为止,Facebook是唯一一个回应威胁的公司,虽然更新还没有点击App Store。该公司告诉技术雷达,它将在接下来的几天内发布更新。Google Plus,Gmail和任何其他没有Tell链接框架的应用程序也易于这些攻击。

迄今为止,Apple尚未评论安全缺陷。