• Партнер

  • Независимый специалист по информационной безопасности Нитеш Дханжани в своем
    блоге сообщает, что решение компании Apple, позволяющее встроенному в iOS
    браузеру Safari обрабатывать запросы от третьих приложений - это плохая идея,
    так как позволяет проводить атаку, в результате которой смартфон может совершать
    несанкционированные звонки без ведома пользователей.

    По его словам, на веб-сайте, посещаемом при помощи браузера Safari в iPhone,
    есть возможность встроить злонамеренный iFrame, где будет размещен вредоносный
    код, инициирующий запуск сторонних приложений, в том числе и системы набора
    номера в телефоне. Как вариант вредоносный код можно встраивать не в iFrame, а в
    гиперссылку.

    Вместе с тем, пользователь, который все-таки нажмет на вредоносную ссылку,
    должен будет увидеть запуск системы набора номера и вручную может отменить
    вызов. Однако хуже дела обстоят, если хакеры пойдут на некоторые дополнительные
    уловки, например в ту же ссылку встроят код, порождающий после вызова еще одно окно,
    которое закроет набор номера, либо вместо обычной системы набора номера ссылка
    обратиться к Skype, который, будучи запущенным, не выдает предупреждений о
    звонках. Таким образом, в качестве альтернативы, злоумышленник может
    инициировать какой-либо голосовой звонок в Skype.

    Дханжани говорит, что оповестил Apple о проблеме и в компании заявили, что
    все сертифицированные приложения для iPhone запрашивают разрешение пользователя,
    прежде чем начать совершать транзакции подобного рода. Однако в нынешнем случае
    приложения запрашивают разрешение на транзакцию только после того,
    как пользователь выйдет или свернет Safari, парирует он.

    По мнению независимого ИТ-специалиста, решением в данном случае может быть
    встраивание специальных URL-схем, которые запрещены для исполнения в браузере,
    либо активация которых выполняется только по согласию пользователя.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии