Spreparowane strony WWW potrafią przez wywołanie w Safari określonych procedur obsługi protokołu URL (schematów URL) uruchamiać aplikacje iPhone'a bez wiedzy użytkownika.
Zagrożenie
Jak informuje specjalista od zabezpieczeń Nitesh Dhanjani, taka witryna może na przykład za pośrednictwem ramki otworzyć zainstalowany program Skype i automatycznie wybrać numer – o ile użytkownik ma zapisane dane dostępowe Skype'a. Oprócz tego istnieją inne aplikacje, za pomocą których potencjalny napastnik mógłby się poznęcać nad ofiarą. Listę protokołów już wykorzystywanych w iPhonie znajdziemy w dokumencie "URL scheme index".
Według Dhanjaniego prawdopodobnie iPhone nie pyta o zgodę tylko w przypadku procedur obsługi protokołów zarejestrowanych w aparacie przez doinstalowane aplikacje innych producentów. Jeśli bowiem dana strona WWW wywoła któryś z fabrycznie zarejestrowanych w iPhonie schematów URL –. np. [cpde]tel:1-408-555-5555[/code] odpowiadający wewnętrznej aplikacji telefonicznej – wówczas Safari (ewentualnie iOS) wyświetli okno dialogowe z pytaniem, czy użytkownik wyraża zgodę na wykonanie połączenia.
Ochrona
Dhanjani skontaktował się w tej sprawie z Apple'em, który wyjaśnił, że autoryzacja określonych czynności leży w gestii poszczególnych aplikacji. Należy zatem zwrócić się do ich twórców z prośbą o zaimplementowanie autoryzacji wywołania specjalnego schematu URL. Jednak zdaniem Dhanjaniego będzie to trudne do zrealizowania, ponieważ aplikacje są przecież uruchamiane poza Safari, więc kluczowy punkt zgłaszania pytań o zgodę jest już przekroczony. Stąd też znalazca luki dopomina się o wprowadzenie możliwości podawania podczas rejestracji procedury obsługi protokołu URL, czy Safari ma otwierać okno dialogowe z żądaniem potwierdzenia. Według niego Apple musi też podczas kontroli bezpieczeństwa aplikacji zwracać większą uwagę na ich potencjał do nadużyć.
wydanie internetowe www.heise-online.pl
