iPhone.cz - fórum

Dizkuzní fórum o Apple iPhone
https://stolen.iphone.cz/

Krátky kód na stránke môže spustiť volanie Skype

https://stolen.iphone.cz/viewtopic.php?f=118&t=36285

Stránka 1 z 1

Krátky kód na stránke môže spustiť volanie Skype

PříspěvekNapsal: stř lis 10, 2010 7:28 am
od rony
Takýto kód:

Kód: Vybrat vše
<iframe src=?skype://14085555555?call"></iframe>


Ale aj iné podobné konštrukcie po načítaní stránky s ním okamžite spustí volanie pomocou Skype na iPhone.

Chybu spôsobuje nebezpečné spracovanie URL v iOS. viac informácii o tomto probléme.

Za normálnych okolností podobný kód:

Kód: Vybrat vše
<iframe src=?tel:1-408-555-5555?></iframe>


zobrazí varovanie a používateľ si môže vybrať, či naozaj má iphone volať.

Aktuálne si fix môžu "vyrobiť" majitelia jailbreaknutých telefónov. Ostatní si musia dávať pozor.

Re: Krátky kód na stránke môže spustiť volanie Skype

PříspěvekNapsal: stř lis 10, 2010 8:33 am
od Marek
Myslím že pre Apple to je dalšia dosť závažna chyba tak ako chyba v pdf

Re: Krátky kód na stránke môže spustiť volanie Skype

PříspěvekNapsal: stř lis 10, 2010 9:49 am
od ScorpionSX
Toto ale platí len pokial mám nainštalovaný Skype (logicky), zatial čo chyba s PDF sa týkala každého.

Re: Krátky kód na stránke môže spustiť volanie Skype

PříspěvekNapsal: stř lis 10, 2010 9:53 am
od rony
Toto plati nielen pre SKYPE. Plati to aj na rozne ine aplikacie, ktore by mohli vykonat nieco, cim prides o peniaze alebo, co prinesie prospech podvodnikovi.

pre mna nie je problem urobit web v nom skryt tisic tychto iframe s roznymi app a jedna sa uz u teba najde.

Je to problem, ze sa neodchyti aktivita potvrdenim ale rovno sa spusti.

Re: Krátky kód na stránke môže spustiť volanie Skype

PříspěvekNapsal: stř lis 10, 2010 10:22 am
od ScorpionSX
Aha. V tom prípade beriem späť čo som povedal, predsa len je to celkom závažná chyba. (Z nadpisu a prvého postu to ale predsa len vyzeralo, že sa to týka len Skype)

Len rozmýšlam, ako by napr. spustenie takejto app útočníkovi pomohlo...veď napr. in-app purchases musím potvrdiť, aj nakupovanie na webe treba povrdiť,...alebo že napr. otvorí Facebook a pozrie si zoznam mojich kontaktov...

Re: Krátky kód na stránke môže spustiť volanie Skype

PříspěvekNapsal: stř lis 10, 2010 11:01 am
od Antabelus
To už si můžu koupit rovnou nějakou Nokii se Symbianem, jestli se mě bude iPhone pořád na něco ptát. Bude stačit doladit to tak, aby se tyto kódy spouštěly až po reálném kliknutí uživatele na určitý prvek a ne samo od sebe.

Re: Krátky kód na stránke môže spustiť volanie Skype

PříspěvekNapsal: stř lis 10, 2010 11:11 am
od rony
ved preto je ta finta cez IFRAME, chyba je, ze sa tam taka url spracuje a spusti to. Nejde totiz o obsah ale len nieco ako redirect inde. Normalne v kode ako <a href="... by sa nic nedialo.

Preto to volaju chybne spracuvanie URL :) a iframe je skutocne taky, ze ten src parameter si nacita ako keby novu webstranku a potom vlozi to co vypocital render tej url ako obsah ramika.

Vsetko, co to malo robit bolo, ze to nedovoli tieto redirect protokoly.
Všechny časy jsou v UTC + 1 hodina
Stránka 1 z 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/