Malafide website kan app starten zonder toestemming van gebruiker

Nitesh Dhanjani, onderzoeker bij beveiligingsbedrijf SANS, heeft in een href="http://blogs.sans.org/appsecstreetfighter/2010/11/08/insecure-handling-url-schemes-apples-ios/" target="blank_">blogpost</a> een aantal beveiligingsproblemen van iOS uit de doeken gedaan. Zo is het volgens de onderzoeker mogelijk dat een malafide website zonder toestemming een app kan starten op het besturingssysteem.

Het probleem heeft te maken met URL schema's, Apple's benaming voor URL Protocol Handlers, die door Safari worden gebruikt. Zo is mogelijk met het tel:-schema vanuit een browser een app als Skype te laten starten en automatisch een gesprek te laten opzetten met een voorgeprogrammeerd nummer.

Mocht de gebruiker echter zijn inloggegevens van Skype hebben opgeslagen, wat volgens SANS vaak het geval is, is het probleem nog groter. In dit geval kan vanaf de website een gesprek worden opgestart zonder dat de gebruiker hier ook maar enige melding van krijgt. Op deze manier is het mogelijk om met behulp van een malafide website de identiteit van de iOS-gebruiker te achterhalen. Dit kan door de Skype-ID van de beller te analyseren.

Dhanjani benadrukt overigens in de blogpost dat Skype slechts een voorbeeld is en er meer apps op de markt zijn waarbij dit probleem zich voordoet. SANS heeft contact opgenomen met Apple. Apple's standpunt is dat ontwikkelaars van apps ervoor moeten zorgen dat gebruikers toestemming moeten geven voordat een proces kan worden uitgevoerd. Dhanjani heeft daarnaast contact opgenomen met Skype. Skype heeft hier echter nog niet op gereageerd.

Deel dit artikel
Voeg toe aan favorieten