Нововведение в iPhone открыло лазейку злоумышленникам // 10 Ноября 2012

Нововведение в iPhone открыло лазейку злоумышленникам

Нововведение Apple, которое позволяет прямо из мобильного браузера вызывать другие приложения, содержит неприятную уязвимость, из-за которой злоумышленник может творить на iPhone пользователя все, что угодно.

Apple некоторое время назад предложила специальный протокол URL Schemes, предназначенный для того, чтобы вставлять в веб-страницы, ориентированные на просмотр в мобильном Safari, ссылки специального рода. Эти ссылки позволяют открыть какое-либо приложение и заставить его выполнить какое-либо действие. Авторы могут сами создавать различные обработчики ссылок для своих приложений. Это достаточно удобно и существенно обогащает веб-страницы для мобильного Safari.

Как сообщает Sans.org, эти ссылки потенциально небезопасны. Во-первых, Safari позволяет загружать содержимое ссылок в iframe, иными словами, в обычном Вебе это самый простой способ показать содержимое одной веб-страницы внутри другой. В случае же когда количество типов обрабатываемых источников велико, при помощи iframe можно заставить веб-страницу при загрузке открывать другие программы и выполнять в них действия.

Неприятность для пользователя не только в том, что могут быть открыты программы, но и в том, как именно обрабатываются эти «расширенные» вызовы. iPhone не спрашивает у пользователя, хочет ли он его выполнить, а просто выполняет во всех случаях, кроме тех, когда страница пытается спровоцировать телефонный звонок. Если же она, например, хочет осуществить вызов Skype, ей никто препятствовать не станет. Пользователь начнет загружать веб-страницу, в этот момент откроется Skype и начнет звонить по какому-то номеру. Так как iOS теперь в некотором смысле многозадачна, загрузка веб-страницы при этом продолжится, и если там будут другие элементы, открывающие программы, последствия нетрудно вообразить.

Со стороны разработчиков приложений можно сделать крайне немногое: приложение не в состоянии понять, кто его вызвал - пользователь по своей воле или веб-страница. Значит, чтобы уберечься, им придется заставлять людей подтверждать каждое свое действие, что является катастрофой с точки зрения удобства. Единственный способ избежать неприятных последствий - это отказаться от поддержки своего приложения в URL Schemes и ждать действий со стороны Apple. Apple же может пойти двумя путями: запретить загрузку URL Schemes в iframe или позволить приложениям запрашивать согласие пользователя на запуск из Safari. Третий путь - оставить все как есть - сбрасывать со счетов нельзя, но на развитии новинки от Apple он скажется весьма плачевно.

Источник: "Руформатор"

Читайте еще:

Троянцы используют необычный механизм заражения

Троянцы используют необычный механизм заражения

Компания «Доктор Веб» информирует пользователей о распространении с помощью пиринговой сети Trojan.PWS.Panda.2395 нескольких вредоносных программ, использующих весьма любопытный механизм заражения компьютеров. Данные программы способны осуществлять массированные DDoS-атаки и рассылать спам. Инфицирование компьютера жертвы осуществляется при помощи широко распространенного троянца Trojan.PWS.Panda.2395. На...

05 Ноя 2012

В Японии разработан первый

В Японии разработан первый "наномозг"

В Японии ученые разработали «наномозг» - молекулярную структуру, позволяющую управлять нанороботами. В рамках эксперимента с помощью этой разработки наномашины смогли выполнять простейшие команды. По словам ученых, «наномозг» может быть использован при создании суперкомпьютеров. Сотрудники Международного центра молодых ученых в Цукубе (Япония)...

31 Дек 2012

Предок компьютеров Apple выставлен на аукционе за £150 тыс.

Предок компьютеров Apple выставлен на аукционе за £150 тыс.

Компьютер Apple 1, собранный Стивом Джобсом  и Стивом Возняком в гараже отца Джобса, в этом месяце будет выставлен на продажу на лондонском аукционе Cristie’s. Первый компьютер от Apple поступил в продажу в июле 1976 года. Будущим основателям корпорации удалось продать...

20 Дек 2012

16.04.2013
Total Commander - лучший среди файловых менеджеров
Если еще недавно все радовались появлению Windows и его «удобнейшему» интерфейсу с окнами, где перемещать...
16.04.2013
Avast - один из лучших бюджетных антивирусов
Не мало количество пользователей, не скрывающих необходимость в защите компьютера при помощи антивирусов пользуются именно...
16.04.2013
NOD32 Smart Security 6, получил обновление!
Компания ESET является одним из самых мощных разработчиков, выпускающих качественное программное обеспечение, направленное на защиту...
30.05.2012
Осторожно спам Сбербанка
В последнее время участилась массовая рассылка фишинговых электронных писем от мошенников, якобы работников Сбербанка России....
29.05.2012
Новый вирус в сети интернет
"Лаборатория Касперского" обнаружила новую вредоносную программу, которая активно используется в качестве кибероружия , распространяемого по...