Hoy traemos una de esas historias que parecen de ficción, pero que son pura realidad. Hace 8 años, el invesigador de seguridad Colin Mulliner encontró y reportó un error en Apple, el error era cuanto menos intrigante. En el blog hablamos de esto, ya que afectaba a otros servicios, el bug se denominó Click to Call.
Este error estaba presente en Safari, aunque la vulnerabilidad se debía a llamadas telefónicas no deseadas, gracias al enlace que comenzaba por tel:[número teléfono]. Este prefijo le decía al navegador que se quería realizar una llamada de teléfono, suponiendo que el dispositivo utilizado para navegar puede realizarlas. Si se permitía la llamada, tras ver un cuadro de diálogo de confirmación, ésta era realizada al contacto indicado en el enlace. Años después vimos como el bug de click to call también se daba en un buen número de apps, como Facebook o Google.
Ocho años después, el investigador Mulliner, vio como un joven estadounidense era arrestado por promocionar un sitio web que contenía un enlace, el cual en última instancia iniciaba llamadas al 911. Esto, al estar en la web, provocó miles de llamadas a este número, el cual es el de emergencia en Estados Unidos. El investigador se preguntó si sería el error que él descubrió en el año 2008. Lo curioso es que sí, salvo que esto se realiza de forma ligeramente diferente, pero el efecto es el mismo. En la siguiente animación se puede ver un ejemplo del pasado Click to Call.
Este error estaba presente en Safari, aunque la vulnerabilidad se debía a llamadas telefónicas no deseadas, gracias al enlace que comenzaba por tel:[número teléfono]. Este prefijo le decía al navegador que se quería realizar una llamada de teléfono, suponiendo que el dispositivo utilizado para navegar puede realizarlas. Si se permitía la llamada, tras ver un cuadro de diálogo de confirmación, ésta era realizada al contacto indicado en el enlace. Años después vimos como el bug de click to call también se daba en un buen número de apps, como Facebook o Google.
Figura 1: Enlace para hacer una llamada con un clic |
Ocho años después, el investigador Mulliner, vio como un joven estadounidense era arrestado por promocionar un sitio web que contenía un enlace, el cual en última instancia iniciaba llamadas al 911. Esto, al estar en la web, provocó miles de llamadas a este número, el cual es el de emergencia en Estados Unidos. El investigador se preguntó si sería el error que él descubrió en el año 2008. Lo curioso es que sí, salvo que esto se realiza de forma ligeramente diferente, pero el efecto es el mismo. En la siguiente animación se puede ver un ejemplo del pasado Click to Call.
Figura 2: Click to Call en iOS 10 |
¿A qué se debe? Esto es debido a que iOS incluye una especie de "minibrowser" que utilizan las aplicaciones de la AppStore para mostrar el contenido HTML sin cambiarlo. Este componente se denominada WebView, y lo hemos visto en otros ejemplos de seguridad como en casos de phishing. El investigador ha reportado el problema a Apple, por lo que una corrección del componente WebView tendremos que verla en poco tiempo, seguramente en la próxima actualización del sistema operativo iOS.
No hay comentarios:
Publicar un comentario