• Tweet

Un investigador de seguridad asevera que Apple ha tomado una mala decisión al permitir que su navegador Safari permita peticiones para que aplicaciones de terceros realicen llamadas telefónicas sin advertir al usuario.

Safari, como otros navegadores, puede ejecutar otras aplicaciones para utilizar algunos protocolos URL. Estos pueden estar en hipervínculos o incrustados en iframes.

Un iframe conteniendo una URL con un número telefónico causaría, por ejemplo, que Safari le preguntara a un usuario si desea realizar una llamada a un número en particular, escribió el experto en seguridad Nitesh Dhanjani en el blog de SANS Application Security Street Fighter. En este caso, los usuarios pueden presionar el botón de cancelar para terminar la llamada.

Sin embargo, Dhanjani encontró que el comportamiento cambia en algunos casos. Por ejemplo, "sí un usuario tiene instalado Skype y mantiene su sesión activa, Safari no lanza una alerta cuando encuentra una URL de Skype en un iframe e inmediatamente comienza la llamada", dijo.

"En este caso, Safari no advierte y le presenta la aplicación de Skype que inmediatamente inicia la llamada", escribió Dhanjani. "La implicación de seguridad de esto es obvia, incluyendo el caso donde un sitio malicioso pueda hacer una llamada para exponer la identidad de la víctima" (al analizar la identidad del usuario de la llamada entrante).

"Una solución para este problema por parte de Apple es permitir a las aplicaciones de terceros una opción para registrar sus esquemas URL con cadenas para Safari, y de esta manera Safari las autorice lanzar la aplicación externa previamente" escribió Dhanjani.

Planteó la pregunta de si Apple, quien mantiene una auditoría estricta e imparcial revisando aplicaciones de terceros, debe o no revisar las cadenas URL antes de que las aplicaciones tengan el permiso de distribuirse en la tienda Apple Store.

"Después de todo, Apple es conocida por rechazar aplicaciones que representan un riesgo de seguridad o privacidad a sus usuarios. ¿Por qué no exigir de la misma manera un manejo seguro de las transacciones solicitadas por esquemas URL-" escribió Dhanjani.

Es posible buscar los esquemas URL permitidos en los dispositivos iPod e iPad que han sido modificados (jailbreaked). Pero Dhanjani dijo que podría ser bueno permitir a los usuarios verificar dichos esquemas URL, ya que esto "ayudará a los diseñadores de aplicaciones a contar con una forma disciplinada de notificación, tal como lo hace iOS en la notificación de localización. Incluso, esto haría que las empresas averiguaran más fácilmente qué aplicaciones de terceros en los dispositivos de sus empleados poseen esquemas URL mal diseñados que puedan poner en riesgo los datos de la empresa".

"Los desarrolladores de aplicaciones de terceros, incluyendo los que desarrollan aplicaciones personalizadas para uso empresarial, necesitan darse cuenta que sus manejadores de URL pueden ser invocados por un usuario que visita un sitio malicioso y no asumir que el usuario lo está autorizando", escribió Dhanjani.

Finalmente, Apple no pudo ser contactada inmediatamente para hacer comentarios al respecto.