Der Entwickler Andrei Neculaesei hat es geschafft, ein iPhone dazu zu bringen, automatisch und unbemerkt vom Besitzer Telefonate durchzuführen. Wie das funktioniert, hat er in seinem Blog beschrieben.
Ermöglicht wird das dadurch, dass Apple in iOS einen Telefonlink wie “tel://49259100000″ erlaubt. Wird der in einem Browser angeklickt, fragt das Programm zwar nach, ob der Anruf durchgeführt werden soll, diese Nachfrage unterbleibt aber in einer nativen App. Baut jemand in eine App diesen Schadcode ein, wird die eingestellte Nummer ohne Nachfrage angerufen, was man entweder nutzen kann, um damit kostenpflichtige Hotlines anzurufen oder aber nur, um die Telefonnummer des iPhones herauszubekommen.
Das funktioniert so: Einen Anruf codiert man als Link mit dem unter iOS zugelassenen URI-Schema “tel://”, zum Beispiel
<a is=“target“ href=tel://01234567>anklicken</a>
Direkt dahinter setzt man ein kurzes Javascript-Programm, das nichts anderes tut, als selbst auf den vorstehenden Telefon-Link zu klicken:
<script>
var target = document.getElementById(„target“);
var fakeEvent = document.createEvent(“MouseEvents”);
fakeEvent.initEvent(“click”, true, false);
target.dispatchEvent(fakeEvent);
</script>
