21 junio 2009

El Iphone, ese oscuro objeto de deseo que genera partidarios y detractores a partes iguales, que normalmente es noticia en otros blogs mas gadgeros, hoy tiene sus minutos en SbD por culpa de una vulnerabilidad que podría llegar a costar bastante dinero a la potencial victima.

Según ha sido publicado, el navegador Safari que incorpora el teléfono tiene problemas con ciertos tags HTML específicos para navegadores en teléfonos móviles.

En concreto, Safari soporta dos tags 'peliagudos' cuanto menos: sms: y tel: que, como es fácil deducir, se emplean para insertar vínculos en paginas web con la finalidad de que el usuario pueda enviar un sms o hacer una llamada cómodamente. Sin duda otro claro ejemplo donde una funcionalidad atractiva, tiene implicaciones en el campo de la seguridad.

El comportamiento habitual o esperado del tag tel: es que, al hacer clic desde el navegador web, se genere un popup donde se le presente al usuario información explicándole que va a realizar una llamada y deba aceptar si la hace o no.

El problema que han localizado la gente de trifinite estriba en que, usando convenientemente Javascript para formatear una pagina web, es posible hacer que el teléfono haga una llamada sin consentimiento por parte del usuario, abriendo de esa forma la ventana a que alguien fuerce a un usuario a hacer una llamada a un numero 'especial' que tenga sobre-coste (típicamente en España un 905).

Los detalles técnicos de la noticia los podéis leer aquí y yo me enteré gracias al siempre activo ANELKAOS

3 comments :

Zerial dijo...

Entonces es hora de enviar mensajes y hacer llamadas! Cuando llegue una factura de mucho dinero entonces decimos que es culpa de esta vulnerabilidad. Sería bueno que los más afectados por esta vulnerabilidad sean las empresas de telefonia y no las persoans :P

Dmouse dijo...

@zerial, por lo menos aquí en México creo que a la empresa que vende el iphone (por que solo es una) le vale un comino si es un bug o no, ellos te cobran.
creo que es un punto más para safari.

Dmouse dijo...

@zerial, por lo menos aquí en México creo que a la empresa que vende el iphone (por que solo es una) le vale un comino si es un bug o no, ellos te cobran.
creo que es un punto más para safari.