Due informatici, Andrei Neculaesei e Guillaume K. Ross, hanno documentato con un sito e un video una falla della sicurezza degli smartphone che usano iOS: è possibile far partire dall'iPhone della vittima una telefonata, con relativo addebito, semplicemente convincendo la vittima a toccare un link all'interno di un messaggio, senza che il dispositivo chieda alla vittima se vuole davvero fare la chiamata.

Il bello è che la falla non è segreta: è documentata nei manuali Apple. Un link contenente il suffisso tel:// seguito da un numero verrà eseguito da un'app, iniziando la chiamata verso quel numero, “senza ulteriori richieste all'utente”. Non è un difetto di iOS, ma delle singole app. Safari chiede conferma, per esempio, mentre le app di Facebook, Gmail, Google+ non la chiedono. Neculaesei fornisce anche il semplice codice HTML necessario per sfruttare il difetto di queste app.

Lo scenario tipico di sfruttamento di questo difetto è l'operatore di numeri telefonici a valore aggiunto (premium rate) che con una raffica di messaggi (costo zero) riesce a farsi chiamare da vittime inconsapevoli e quindi incassa parte del costo della chiamata. Esistono anche altre applicazioni più dannose di questo difetto, come per esempio l'uso come honeypot per l'identificazione del chiamante.

Facetime di Apple, inoltre, ha una falla separata ma analoga che permette all'aggressore di lanciare automaticamente una videochiamata e catturare l'immagine della vittima senza che la vittima abbia accettato la chiamata.

Per il momento non sono disponibili soluzioni tecniche: l'unico rimedio è non toccare link di provenienza sospetta, oppure usare telefonini non smart o diversi dall'iPhone. I dispositivi Android e Windows Phone, infatti, non si comportano in questo modo vulnerabile. Ross, che ho contattato, dice che lo stesso problema c'è anche nelle app di OS X, ma è risolvibile disabilitando le associazioni.