10.11.2010, 00:00 Uhr
Skype kann auf iPhone (ungefragt) telefonieren
Das Zusammenspiel von Safari und Skype kann zu unerwünschten Telefonaten führen. Wie auf dem PC/Mac kann auch auf dem iPhone eine Applikation einen URI-Scheme definieren, über das sie von Safari aus aufgerufen werden kann. Dabei handelt es sich um ein spezielles Kommando, das die App im System registriert und das vom Browser ausgewertet wird. So sorgt etwa der Code tel:0123456789 dafür, dass die Telefonnummer "0123456789" an die Telefon-App übergeben wird. In diesem Fall fragt Safari allerdings zuerst nach, ob ein Anruf erfolgen soll oder nicht.
So weit, so gut. Weniger gut ist allerdings, was Sicherheitsexperte Nitesh Dhanjani von SANS herausgefunden hat. Wenn der Code etwa skype://14085555555?call lautet, dann wird die angegebene Nummer an die Skype-App übergeben. Wird dieses Kommando in einen iFrame eingebunden, fragt Safari nicht nach, sondern Sykpe übernimmt sofort das Kommando und baut die Verbindung auf. Laut Dhanjani lässt sich dieses Verhalten leicht dazu benutzen, um etwa die Identität des Anwenders auszuspähen. Auch sei es denkbar, dass andere Applikationen über entsprechenden HTML-Code via Safari missbraucht werden können. (ph/appco)
So weit, so gut. Weniger gut ist allerdings, was Sicherheitsexperte Nitesh Dhanjani von SANS herausgefunden hat. Wenn der Code etwa skype://14085555555?call lautet, dann wird die angegebene Nummer an die Skype-App übergeben. Wird dieses Kommando in einen iFrame eingebunden, fragt Safari nicht nach, sondern Sykpe übernimmt sofort das Kommando und baut die Verbindung auf. Laut Dhanjani lässt sich dieses Verhalten leicht dazu benutzen, um etwa die Identität des Anwenders auszuspähen. Auch sei es denkbar, dass andere Applikationen über entsprechenden HTML-Code via Safari missbraucht werden können. (ph/appco)
