Вредоносное использование HTML5 Vibrate API

В наборе спецификаций HTML5 пополнение. Вскоре любое приложение через API сможет вызывать вибрацию смартфона. Это очень удобная функция для оповещения о событиях и для игр. Можно придумать и альтернативные применения вибрации, скажем, передавать текст азбукой Морзе.

На сегодняшний день браузер или любое другое приложение спрашивает разрешения у пользователя, если хочет обратиться к камере, GPS-сенсору, адресной книге и т.д. А вот для доступа к HTML5 Vibrate API особое разрешение не требуется, поскольку эта функция рассматривается как безопасная, не способная причинить какой-то вред, разве что потратить заряд аккумулятора.

Но хакеры все-таки нашли способ, как нанести вред через вибрацию. Идею они позаимствовали у зловредов под Windows, которые показывают сообщения, внешне похожие на системные сообщения Windows и требующие нажать кнопку “OK”. В общем, на мобильных устройствах вибрация тоже позволяет сделать сообщения более правдоподобными. Если телефон вибрирует, то сообщение точно настоящее, подумает пользователь.

Вызывать вибрацию можно прямо с веб-страницы. А если совместить использование HTML5 Vibrate API и HTML5 Audio, то можно вообще подделывать телефонные звонки, рисуя соответствующую картинку, играя звук и вибрируя.

Если пользователь «ответит» на звонок, то приложение может даже сыграть еще один звуковой файл со словами типа «Срочно перезвони, мой номер ХХХ-ХХ-ХХ» с указанием платной линии. В сочетании с WebRTC можно эмулировать очень правдоподобные телефонные звонки.

 

Исходный код см. здесь.

Еще интересное

Если ваш телефон всегда подключен к мобильному интернету, и при этом, у вас есть аккаунт в Google, помните: «Большой брат следит за вами».
Бывший сотрудник АНБ поможет правительству ЕС найти способ защитить приватность европейских граждан.
Софтверный гигант опроверг сообщения СМИ о том, что компания помогала экспертам АНБ США обходить свои коды шифрования

По словам техногиганта, брешь также затрагивает Word Viewer и Word Automation Services на Microsoft SharePoint Server.

Acronis представила программу True Image for Mac для резервного копирования данных на настольных компьютерах и ноутбуках Apple. Об этом говорится в сообщении компании.

Сирийское правительство в очередной раз отключила доступ граждан страны к Интернету. Ранее подобная же история происходила в ноябре 2012 года.