El navegador Safari del iPhone permite hacer llamadas sin conocimiento del usuario

La manera en que el iPhone gestiona ciertos protocolos podría significar un riesgo de seguridad por no alertar al usuario antes de lanzar aplicaciones externas.

Un investigador de seguridad afirma que Apple ha tomado una decisión equivocada al permitir que su navegador Safari cumpla con las peticiones de aplicaciones externas para ejecutar acciones que permitirían, por ejemplo, realizar una llamada sin conocimiento del usuario.

Como otros navegadores, Safari puede lanzar otras aplicaciones para gestionar ciertos protocolos URL, y estos pueden ser enlaces o iframes.

Si un iframe incluyera una URL con un número de teléfono, por ejemplo, Safari pregunta al usuario si quiere realizar una llamada de teléfonos a ese número en particular, pero Nitesh Dhanjani, investigador de seguridad, ha descubierto que esta conducta cambia en algunos casos. Por ejemplo, si un usuario tiene Skype instalado y está registrado, Safari no dará ninguna alerta cuando se encuentre con una URL en un iframe y Skype inicie de manera automática una llamada.

Dhanjani asegura haber contactado con Apple para solucionar el problema y asegura que una solución al mismo sería que Apple permitiera que las aplicaciones de terceros pudieran registrar sus esquemas URL de forma que Safari pudiera autorizar el lanzamiento de aplicaciones externas antes de que esto ocurra.