Luke Skypewalker

2010. november 10. 14:25 - Csizmazia Darab István [Rambo]

Nitesh Dhanjani észrevételeire mindig érdemes odafigyelni. Ő volt az, aki annak idején az emlékezetes Safari Carbet Bomb sebehezhetőségről is beszámolt. Most az Apple IOS kapcsán tett érdekes felfedezést a weboldalakba ágyazott Skypehívásokkal kapcsolatban.

Elvileg ha találkozunk egy akármilyen indulatú weboldalon egy olyan kóddal, amiben szerepel egy hívás, pl. "<iframe src=”tel:1-408-555-5555”></iframe>", akkor az a normális működés, hogy feljön egy ablak, ami nagyon helyesen engedélyt kér. És akkor választhatunk a hívás vagy a mégse között, ami pedig a leglényegesebb, kattintás nélkül nem történik semmi.

Innentől kezd érdekes lenni a történet, ugyanis ha a telefonra már telepítve van a Skype alkalmazás, és a megintcsak ki tudja milyen indulatú weboldalban pedig az alábbi kód található: "<iframe src=”skype://14085555555?call"></iframe>". Ekkor ugyanis a Safari rákérdezés nélkül, azonnal elindítja a hívást.

A biztonsági szakértő már kapcsolatba lépett az Apple fejlesztőivel, valamint a Skype csapatával is, és jelezte nekik a problémát. A hibát nagyvalószínűséggel az Apple-nél kell majd valahogy orvosolni, a történetben szereplő Skype ugyanis csak egy példa arra, hogy bármilyen harmadik fejlesztő fél által készített alkalmazás felülbírálhatja a Safari alapértelmezett engedélykérős beállításait.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása