Nitesh Dhanjani észrevételeire mindig érdemes odafigyelni. Ő volt az, aki annak idején az emlékezetes Safari Carbet Bomb sebehezhetőségről is beszámolt. Most az Apple IOS kapcsán tett érdekes felfedezést a weboldalakba ágyazott Skypehívásokkal kapcsolatban.

Elvileg ha találkozunk egy akármilyen indulatú weboldalon egy olyan kóddal, amiben szerepel egy hívás, pl. "<iframe src=”tel:1-408-555-5555”></iframe>", akkor az a normális működés, hogy feljön egy ablak, ami nagyon helyesen engedélyt kér. És akkor választhatunk a hívás vagy a mégse között, ami pedig a leglényegesebb, kattintás nélkül nem történik semmi.

Innentől kezd érdekes lenni a történet, ugyanis ha a telefonra már telepítve van a Skype alkalmazás, és a megintcsak ki tudja milyen indulatú weboldalban pedig az alábbi kód található: "<iframe src=”skype://14085555555?call"></iframe>". Ekkor ugyanis a Safari rákérdezés nélkül, azonnal elindítja a hívást.

A biztonsági szakértő már kapcsolatba lépett az Apple fejlesztőivel, valamint a Skype csapatával is, és jelezte nekik a problémát. A hibát nagyvalószínűséggel az Apple-nél kell majd valahogy orvosolni, a történetben szereplő Skype ugyanis csak egy példa arra, hogy bármilyen harmadik fejlesztő fél által készített alkalmazás felülbírálhatja a Safari alapértelmezett engedélykérős beállításait.