En iPhone-bruger, der gerne vil være anonym, kan identificeres af hackere gennem et sikkerhedshul i flere af de kendte besked-apps til iOS. Det gælder blandt andet Facebook Messenger, Gmail og Google+, men der kan sagtens være tale om flere. Det skriver Andrei Neculaesei, der er udvikler for den danske startup Airtame og er den, der har opdaget hullet.
Sikkerhedshullet består i den måde, som Apple’s mobilstyresystem håndterer links til at foretage opkald på telefonen. Normalt hvis man klikker på et link til at ringe et telefonnummer op i Safari-browseren, vil der komme en popup besked frem, der spørger, om man vil ringe det pågældende nummer op.
Som Apple også selv beskriver i sin dokumentation til mobiludviklere, så gælder dette dog ikke, hvis man klikker på linket i en apps’ egen browser. I denne situation vil telefonen foretage opkaldet uden videre og dermed åbne op for en hel række af muligheder for misbrug.
Andrei Neculaesei optog en gif af sikkerhedshullet i Facebook Messenger (klik for at se animationen):
Ondsindede kan således forholdsvis let programmere en hjemmeside, der får intetanende iPhone-brugere til at falde i sikkerhedsfælden. Ringer man op eksempelvis op til et telefonnummer med ekstra høje afgifter, vil man måske ikke kunne nå at forhindre opkaldet. Og da det også er muligt at lave links til videoopkald med Facetime, vil det være muligt for hackeren at få sit offer til at ringe op, hvorefter han kan nå at tage et screenshot af vedkommende og muligvis lokalisere ham.
Problemet er så udbredt, fordi de fleste apps bruger deres egen browser til at håndtere links. Det gælder blandt andet Facebook Messenger, Gmail og Google+ ifølge Andrei Neculaesei. Han skriver også, at fejlen ligger hos app-udviklerne, da de ikke har programmeret deres apps til at vise en popup-advarsel ved opkald.
Leave a Reply