Menú principal

miércoles, 10 de noviembre de 2010

Explotación de Manejadores de Protocolos en Safari para iPhone que permite hacer llamadas automáticas con Skype

Igual que sucediera en el pasado con Mozilla Firefox, Microsoft Internet Explorer y Skype, el problema se repite ahora en Safari para iPhone con los manejadores de protocolos, o como se llama en Safari, los esquemas de URL, tal y como cuenta Cyberhades.

El concepto de un esquema de URL permite que, desde la barra de dirección URL del navegador, se puedan invocar otros protocolos distintos a Http o Ftp, siempre y cuando se hayan registrado en el sistema. Así, aplicaciones como Skype registran sus propios protocolos, permitiendo que el navegador invoque el programa en caso de que una URL comience con skype:// Estos esquemas de URL pueden ser invocados dentro del propio código HTML de la página por la que se está navegando y, automáticamente, Safari llamará al programa registrado con los parámetros de entrada solicitados. Aquí tienes una interesante entrada sobre los Esquemas de URL en iPhone.

Conociendo este comportamiento, el investigador Nitesh Dhanjani ha publicado una prueba de concepto similar a la que tuvimos años atrás demostrando el riesgo que esto puede suponer. 

Usando el esquema de URL tel: para llamar

En el sistema, viene por defecto registrado el manejador tel: para hacer una invocación al programa marcador de números de teléfono así, por ejemplo, si una página Html intenta generar una llamada de teléfono mediante un esquema URL de llamada tel:, incrustando en el código un iframe con el siguiente código:

[iframe src="”tel:1-408-555-5555”"][/iframe]

El dispositivo iPhone mostrará el mensaje de alerta que solicitará una confirmación por parte del usuario, tal y como se puede ver en la imagen adjunta de la derecha.


Usando el esquema de URL skype: para llamar

El problema radica en que este comportamiento no es siempre así, y si en lugar de invocar al modulo de llamada con el manejador tel: para usar el módulo de marcación de iPhone, se invoca una llamada con Skype utilizando el majerador skype: y el usuario ha guardado las credenciales en la aplicación de Skype, con una sencilla línea HTML que inserta un iframe con un número al que se desea llamar, tal y como esta:

[iframe src="”skype://14085555555?call""][/iframe]

Lo que sucede es que la aplicación de Skype llama automáticamente sin solicitar ningún tipo de confirmación, tal y como se puede ver en la imagen adjunta de la derecha.

Reacciones

Como ya sucediera en el pasado, tal y como explica Nitesh Dhanjani en su artículo, Apple echa balones fuera y dice que es el programa que recibe la llamada el que tiene que validar los datos de entrada y, por su parte, Skype aún no se ha pronunciado. En fin, que otro bug del pasado que se conocía de otros navegadores que, tanto Skype, como Apple, han dejado que se les cuele. En los casos anteriores, hay que recordar que al final se optó por arreglarlo por ambas partes.

3 comentarios:

  1. Perdonar pero no logro comprender que se pueda hacer la llamada automaticamente.
    Si se tiene configurado Skype para que pida usuario y contraseña para poder abrir la aplicación, ¿no deberia requerirla por mucho esquema URL que se utilize?
    Soy neofito en temas de seguridad y por eso os leo.

    Saludos.

    ResponderEliminar
  2. Hola,

    si te lees el enlace al post de Cyberhades que aparece al principio de esta entrada, verás que comentan lo siguiente:

    "Requisito: obviamente tener instalado Skype y haber entrado las credenciales."


    Un saludo

    ResponderEliminar
  3. Gracias ahora ya estoy mucho mas tranquilo.

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares