Przejmą kontrolę nad twoim iPhone'm

Jak informuje specjalista od zabezpieczeń Nitesh Dhanjani, taka witryna może na przykład za pośrednictwem ramki otworzyć zainstalowany program Skype i automatycznie wybrać numer – o ile użytkownik ma zapisane dane dostępowe Skype'a. Oprócz tego istnieją inne aplikacje, za pomocą których potencjalny napastnik mógłby się poznęcać nad ofiarą. Listę protokołów już wykorzystywanych w iPhonie znajdziemy w dokumencie "URL scheme index".

Według Dhanjaniego prawdopodobnie iPhone nie pyta o zgodę tylko w przypadku procedur obsługi protokołów zarejestrowanych w aparacie przez doinstalowane aplikacje innych producentów. Jeśli bowiem dana strona WWW wywoła któryś z fabrycznie zarejestrowanych w iPhonie schematów URL –. np. [cpde]tel:1-408-555-5555[/code] odpowiadający wewnętrznej aplikacji telefonicznej – wówczas Safari (ewentualnie iOS) wyświetli okno dialogowe z pytaniem, czy użytkownik wyraża zgodę na wykonanie połączenia.

Dhanjani skontaktował się w tej sprawie z Apple'em, który wyjaśnił, że autoryzacja określonych czynności leży w gestii poszczególnych aplikacji. Należy zatem zwrócić się do ich twórców z prośbą o zaimplementowanie autoryzacji wywołania specjalnego schematu URL. Jednak zdaniem Dhanjaniego będzie to trudne do zrealizowania, ponieważ aplikacje są przecież uruchamiane poza Safari, więc kluczowy punkt zgłaszania pytań o zgodę jest już przekroczony. Stąd też znalazca luki dopomina się o wprowadzenie możliwości podawania podczas rejestracji procedury obsługi protokołu URL, czy Safari ma otwierać okno dialogowe z żądaniem potwierdzenia. Według niego Apple musi też podczas kontroli bezpieczeństwa aplikacji zwracać większą uwagę na ich potencjał do nadużyć.

wydanie internetowe www.heise-online.pl