martes, agosto 26, 2014

Alertan de vulnerabilidad de iOS que permite hacer llamadas sin aprobación del usuario

Un desarrollador descubrió que la función que permite hacer llamadas desde una aplicación puede ser explotada para contactar a números "premium" que generan cobros al usuario.

El tema de la seguridad en dispositivos móviles se ha vuelto algo clave durante los últimos años. El hecho de que llevemos estos equipos en nuestros bolsillos todo el tiempo, y con información sensible, los ha convertido un objetivo importante para atacantes y creadores de código malicioso.

Por lo mismo, la información publicada por Andrei Neculaesei ha generado tanta alerta. El desarrollador, basado en Copenhague, liberó un análisis de la función de iOS que permite establecer "links" que, al utilizarlos, realizan una llamada desde el teléfono. Neculaesei afirma que, al ser mal usada por los creadores de aplicaciones, puede presentar peligros para los clientes.

Concretamente, se trata de cómo funciona el comando "tel" en iOS. Como el conocido "mailto" (que permite que un link abra una ventana de redacción para enviar un correo electrónico), "tel" es un comando que permite realizar una llamada telefónica a un número determinado. En iOS, el uso de "tel" depende del entorno: si se abre desde una página web, el sistema mostrará un mensaje pidiéndole al usuario que confirme que quiere llamar a ese número. Si se hace desde una aplicación, el desarrollador puede deshabilitar la confirmación, haciendo que la llamada se concrete al activar el link.

Neculaesei afirma que la situación se vuelve complicada ya que alguien podría crear un sitio web que ejecuta un código JavaScript que hace que, al abrir la página, se llame a un número "premium" que se activa con el primer "ring" de la llamada, generando una serie de cobros al usuario, sin que éste haya tenido tiempo de cancelar la acción. Si bien en un navegador se mostraría la confirmación para la realización de la llamada, aplicaciones como Facebook, que usan un "visor web" al abrir links (en vez de ocupar Safari), permitirían que el código y la llamada se ejecuten.

El desarrollador hizo la prueba en aplicaciones como Facebook, Facebook Messenger, Gmail y Google+, sin que ninguno muestre el mensaje para confirmar la intención de hacer la llamada. Si bien desactivar la función puede apuntar a que el usuario tenga que hacer menos pasos para concretar una acción, en este caso puede representar un peligro.

La situación recuerda a casos de aplicaciones para Android con código malicioso. Por ejemplo, se han dado situaciones donde juegos tienen una función oculta en el botón para iniciar una nueva partida, generando una llamada en segundo plano a un número "premium", provocando altos costos, sin que el usuario se haya dado cuenta de haber contratado ese servicio.