Thông thường một số điện thoại xuất hiện trong một liên kết hiển thị trên thiết bị di động có thể kích hoạt một cuộc gọi thông qua phương thức URI - Uniform Resource Identifier. Cơ bản đây là một phương thức web cho phép thiết bị có thể khởi động một ứng dụng liên quan, chẳng hạn như tự động mở mail khi người dùng nhấp vào địa chỉ email.

Ảnh minh họa.

Andrei Neculaesei, một nhà phát triển tại công ty không dây Airtame tại Copenhagen (Đan Mạch), cho biết điều này có thể được tận dụng để thu lợi bất chính từ các cuộc gọi tự động khi người dùng kích vào một số điện thoại chứa trong một liên kết nào đó. Cụ thể trong trình duyệt web Safari của Apple, nếu một người nhấp chuột vào một số điện thoại di động, một cửa sổ pop-up sẽ hiển thị yêu cầu xác nhận quay số từ người dùng.

Tuy nhiên, trên nhiều ứng dụng di động có sẵn, như Messenger của Facebook hay Google+ có thể thực hiện tự động cuộc gọi mà không cần xác nhận từ người dùng. Theo Neculaesei, điều này có thể được thiết lập để hiển thị một cảnh báo, nhưng hầu hết các ứng dụng đều tắt chúng đi.

Neculaesei cũng cho biết những kẻ xấu tận dụng lỗ hổng này để tạo ra một trang web chứa các đoạn JavaScript có chức năng kích hoạt cuộc gọi khi một người dùng chỉ đơn thuần là mở xem trang web. JavaScript này có khả năng tự động quay đến một số điện thoại định trước dựa trên URI của trang web đó. Từ đó chúng âm thầm thu tiền bất chính mà người dùng không hay biết.

Không chỉ ứng dụng Facebook Messenger, Neculaesei còn cho thấy cả FaceTime của Apple, ứng dụng Gmail và Google+ của Google đều không hiển thị cảnh báo người dùng trước khi thực hiện một cuộc gọi.

Hiện Facebook và Google vẫn chưa đưa ra lời bình luận liên quan, trong khi Neculaesei cho biết mình chỉ thử nghiệm với một vài ứng dụng có tên tuổi, và nó có thể xảy ra với cả những ứng dụng nhỏ hơn.

Trước đó, một nhà tư vấn an ninh thông tin tại Montreal có tên Guillaume K. Ross cũng đã phát hiện ra rằng chương trình URI có thể bị lạm dụng dẫn đến mất mát dữ liệu, hoặc ảnh hưởng đến tính riêng tư của một người.