安全研究人员Collin Mulliner在本周揭露一藏匿在iOS平台WebView元件中的臭虫，将允许骇客偷用使用者的iPhone拨打电话到指定的号码。

Mulliner说他开采此漏洞的灵感是来自于今年10月底被逮捕的18岁骇客Meetkumar Hiteshbhai Desai。Desais在网路上公布了一个连结，iPhone用户只要点选该连结，手机就会自动重複拨打美国的紧急求助电话号码911，因为造成许多警局收到大量接起来即挂断的电话，促使警方展开调查。

Desais则说漏洞是朋友供应的，他只是为了好玩跟证明自己的实力，没有要瘫痪911的意思。根据警方的调查，Desais所张贴的连结总计吸引了1,849次的点选。

总之，Mulliner受到这则新闻的启发，决定找出问题所在，发现它应该属于应用程式漏洞，同时也与iOS不良的框架预设值有关，只要是采用WebViews来显示内容的iOS程式都可能存在相关漏洞，让iPhone会自动拨打由骇客指定的电话号码。

Mulliner证实了iOS平台上的Twitter与LinkedIn程式都含有该漏洞，而且在Twitter上只用了一行HTML就触发了该漏洞，之后还打造进阶的概念性验证程式，可在iPhone拨打电话时跳出另一个程式来遮掩通话介面。

该漏洞的开采只适用于采用WebView来开启网页的程式，若程式的预设值是利用Safari或Chrome来开启网页，就能免受其害。此外，Mulliner也怀疑其他基于WebView的行动程式亦含有相关漏洞。

Mulliner鼓励行动程式开发商检查程式中的WebView用法，也建议苹果变更WebView的预设行为。