L'iPhone fa chiamate senza permesso.

Di Redazione di Zeus News.

Un sito malevolo può avviare telefonate con Skype e altre applicazioni.

Se si naviga in Internet dall'iPhone e si finisce su un sito che, per qualche motivo, cerca di iniziare una telefonate (usando lo URI Scheme tel:), lo smartphone chiede correttamente il permesso dell'utente.

Se invece il sito che si sta visitando cerca di avviare qualsiasi altra app per cui esiste un corrispondente URI Scheme (ossia un gestore di URL che riconosce l'applicazione da avviare), l'operazione inizia senza che l'utente debba fare niente.

Questo comportamento è potenzialmente molto pericoloso. Immaginiamo per esempio un utente di iPhone che abbia installata l'app di Skype con le credenziali memorizzate: sarebbe facile creare un sito che contenga un iframe con l'URI Scheme skype: che avvii automaticamente una chiamata.

La scoperta è stata fatta da Nitesh Dhanjani, il ricercatore che scoprì il problema relativo ai download in Safari, e non riguarda certo solo Skype ma un vasto elenco di applicazioni, parte delle quali sono elencate nello URL Schemes Index.

L'utente non può non accorgersi che qualcosa non va, perché la schermata di Safari viene sostituita da quella della chiamata in corso, ma il rischio per la sicurezza è evidente.

Dhanjani ha contattato Apple, la quale ha però risposto che sono i produttori delle applicazioni che devono curarsi di questo problema, obbligando i loro software a chiedere le autorizzazioni prima di intraprendere un'azione di questo tipo.

Redazione di Zeus News.