L'iPhone fa chiamate senza permesso.

Di Redazione di Zeus News.

Un sito malevolo pu avviare telefonate con Skype e altre applicazioni.

Se si naviga in Internet dall'iPhone e si finisce su un sito che, per qualche motivo, cerca di iniziare una telefonate (usando lo URI Scheme tel:), lo smartphone chiede correttamente il permesso dell'utente.

Se invece il sito che si sta visitando cerca di avviare qualsiasi altra app per cui esiste un corrispondente URI Scheme (ossia un gestore di URL che riconosce l'applicazione da avviare), l'operazione inizia senza che l'utente debba fare niente.

Questo comportamento  potenzialmente molto pericoloso. Immaginiamo per esempio un utente di iPhone che abbia installata l'app di Skype con le credenziali memorizzate: sarebbe facile creare un sito che contenga un iframe con l'URI Scheme skype: che avvii automaticamente una chiamata.

La scoperta  stata fatta da Nitesh Dhanjani, il ricercatore che scopr il problema relativo ai download in Safari, e non riguarda certo solo Skype ma un vasto elenco di applicazioni, parte delle quali sono elencate nello URL Schemes Index.

L'utente non pu non accorgersi che qualcosa non va, perch la schermata di Safari viene sostituita da quella della chiamata in corso, ma il rischio per la sicurezza  evidente.

Dhanjani ha contattato Apple, la quale ha per risposto che sono i produttori delle applicazioni che devono curarsi di questo problema, obbligando i loro software a chiedere le autorizzazioni prima di intraprendere un'azione di questo tipo.

Redazione di Zeus News.


