Переключиться на мобильную версию

IPhone может набирать номер без ведома хозяина

Обнаружена неприятная уязвимость в смартфоне от Apple.
IPhone могут использовать злоумышеленники
IPhone могут использовать злоумышеленники
pcpop.com

Независимый специалист по информационной безопасности Нитеш Дханжани в своем блоге сообщил об ошибке iPhone. Он заявляет, что решение компании Apple, позволяющее встроенному в iOS браузеру Safari обрабатывать запросы от третьих приложений, — это плохая идея. Таким образом может проводиться атака, в результате которой смартфон может совершать несанкционированные звонки без ведома пользователей.

По его словам, на веб-сайте, посещаемом при помощи браузера Safari в iPhone, есть возможность встроить злонамеренный iFrame, где будет размещен вредоносный код, инициирующий запуск сторонних приложений. В том числе и системы набора номера в телефоне. Как вариант вредоносный код можно встраивать не в iFrame, а в гиперссылку.

Вместе с тем, пользователь, который все-таки нажмет на вредоносную ссылку, должен будет увидеть запуск системы набора номера и вручную может отменить вызов. Однако хуже дела обстоят, если хакеры пойдут на некоторые дополнительные уловки. Например, в ту же ссылку встроят код, порождающий после вызова еще одно окно, которое закроет набор номера, либо вместо обычной системы набора номера ссылка обратиться к Skype, который, будучи запущенным, не выдает предупреждений о звонках. Таким образом, в качестве альтернативы, злоумышленник может инициировать какой-либо голосовой звонок в Skype.

Дханжани говорит, что оповестил Apple о проблеме и в компании заявили, что все сертифицированные приложения для iPhone запрашивают разрешение пользователя, прежде чем начать совершать транзакции подобного рода. Однако в нынешнем случае приложения запрашивают разрешение на транзакцию только после того, как пользователь выйдет или свернет Safari, парирует он.

По мнению независимого ИТ-специалиста, решением в данном случае может быть встраивание специальных URL-схем, которые запрещены для исполнения в браузере, либо активация которых выполняется только по согласию пользователя.

Комментариев (1)
Оставляя комментарий, пожалуйста, помните о том, что содержание и тон Вашего сообщения могут задеть чувства реальных людей, непосредственно или косвенно имеющих отношение к данной новости. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.
Полная версия правил
Осталось 300 символов
Злобный_Каннибал    11.11.2010, 23:15
Оценка:  0
Злобный_Каннибал
Блин, электричества нет, и до ... любой девайс Обесточить на три дня любой город - и будь здоров
Реклама
Мы в соцсетях
Реклама
Реклама
Реклама
Для удобства пользования сайтом используются Cookies. Подробнее здесь