Malafide website kan app starten zonder toestemming van gebruiker

Door: Wouter Hoeffnagel | 09 november 2010 12:05

iPad

Nitesh Dhanjani, onderzoeker bij beveiligingsbedrijf SANS, heeft in een blogpost een aantal beveiligingsproblemen van iOS uit de doeken gedaan. Zo is het volgens de onderzoeker mogelijk dat een malafide website zonder toestemming een app kan starten op het besturingssysteem.

Het probleem heeft te maken met URL schema's, Apple's benaming voor URL Protocol Handlers, die door Safari worden gebruikt. Zo is mogelijk met het tel:-schema vanuit een browser een app als Skype te laten starten en automatisch een gesprek te laten opzetten met een voorgeprogrammeerd nummer.

Mocht de gebruiker echter zijn inloggegevens van Skype hebben opgeslagen, wat volgens SANS vaak het geval is, is het probleem nog groter. In dit geval kan vanaf de website een gesprek worden opgestart zonder dat de gebruiker hier ook maar enige melding van krijgt. Op deze manier is het mogelijk om met behulp van een malafide website de identiteit van de iOS-gebruiker te achterhalen. Dit kan door de Skype-ID van de beller te analyseren.

Dhanjani benadrukt overigens in de blogpost dat Skype slechts een voorbeeld is en er meer apps op de markt zijn waarbij dit probleem zich voordoet. SANS heeft contact opgenomen met Apple. Apple's standpunt is dat ontwikkelaars van apps ervoor moeten zorgen dat gebruikers toestemming moeten geven voordat een proces kan worden uitgevoerd. Dhanjani heeft daarnaast contact opgenomen met Skype. Skype heeft hier echter nog niet op gereageerd.

0 Reactie(s) op: Malafide website kan app starten zonder toestemming van gebruiker

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.