Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu


Jeden klik vás může stát jmění. Aplikacím schází bezpečnostní opatření

aktualizováno 
Díky kontaktům ve formě odkazů odpadla uživatelům aplikací nutnost číslo kopírovat. Ale v mnoha případech, aniž by byli požádáni o potvrzení, stačí k uskutečnění hovoru pouhé kliknutí na odkaz. Nedostatečné zabezpečení aplikací pro systém iOS tak nahrává podvodníkům, kteří z něj pak finančně profitují.
Nedostatečné bezpečnostní opatření mnohých aplikací představuje riziko. Ilustrační snímek

Nedostatečné bezpečnostní opatření mnohých aplikací představuje riziko. Ilustrační snímek | foto:  Tomáš Krist, MAFRA

Na problém, který může nepozorné uživatele připravit mnohdy o ne zrovna zanedbatelný finanční obnos, upozornil na blogu Andrei Neculaesei z kodaňské společnosti Airtame. Vytočit telefonní číslo zvládne již většina mobilních aplikací, mnohé z nich však bez předchozího dotazu na uživatele, zda má být hovor uskutečněn.

Jak Neculaesei zmiňuje, například v aplikaci Safari musí uživatel nejprve potvrdit, že chce číslo skrývající se například i pod nic neříkajícím odkazem skutečně vytočit. U řady jiných aplikací včetně Messengeru od Facebooku či Google+ však takové bezpečnostní opatření schází. Mnohé aplikace ho přitom obsahují, ale mají ho vypnuté.

Aby na problém upozornil, vytvořil Neculaesei speciální webovou stránku s JavaScriptem. Po kliknutí na odkaz se však místo zobrazení stránek automaticky vytočí předvolené číslo. V tom lepším případě by měl být uživatel ještě vyzván k potvrzení vytáčení. Autor stránek tak demonstroval, jak může být odkaz zaslaný například přes Messenger nebezpečný. Zejména v případě, kdy se pod odkazem budou skrývat telefonní čísla zpoplatněná vysokou sazbou.

Odkaz, z něhož bude autor finančně profitovat, přitom může vytvořit téměř kdokoli, stačí základní znalost kódování webových stránek. Zda příslušná aplikace obsahuje bezpečnostní opatření, si lze ověřit zadáním adresy http://box.algorithm.dk/ios/02.html, kterou Neculaesei vytvořil.

Autor blogu při následném testování zjistil, že mezi aplikace, jež telefonní číslo vytočí bez dotazu, patří kromě výše zmíněných také Gmail od Googlu. Volání na podvodné číslo je zneužitelné i v kombinaci s aplikací FaceTime, kdy volaný získá další důležité podrobnosti o volajícím. Včetně jeho podoby. Z nedostatečných bezpečnostních opatření u aplikací, za nimiž stojí velké společnosti, lze usuzovat, že mnohé menší vývojářské týmy se tímto rizikem pravděpodobně vůbec nezabývaly.

Na problematiku upozornil Neculaesei v rámci výzkumu prezentovaného začátkem srpna na bezpečnostní konferenci Bsides v Las Vegas. Na zneužitelnost schématu URI (Uniform Resource Identifier), tedy jednotného identifikátoru zdroje, upozornil také bezpečnostní poradce Guillaume K. Ross. Jeho prostřednictvím může podvodník získat i citlivá soukromá data uživatele mobilního telefonu.

Uvedený odkaz jsme vyzkoušeli v prohlížečích Safari a Opera Mini a v obou případech jsme byli vyzváni k potvrzení hovoru na číslo 0000. Avšak po kliknutí na odkaz zaslaný přes Messenger byl hovor okamžitě uskutečněn. Pokud tedy nebude uživatel při klikání na neznámé odkazy obezřetný, může se koncem zúčtovacího období dočkat nemilého překvapení. Riziko zneužití je vysoké a stejně tak i finanční profit podvodníka.

Autor:




Nejčtenější

Motorola Moto X4
Toto je chystaná Moto X. Kdysi to bývala prémiovka

Řada Moto X bývala nejvyšší modelovou linií Motoroly, ale už loni tuto roli převzala kolekce Z. Nyní „xková“ řada hlásí návrat, ale model X4 nemíří na vrchol....  celý článek

Podobu iPhonu 8 potvrdil řetězec McDonald’s.
Hamburgerový král prozradil podobu iPhonu 8 s vykrojeným displejem

Představení chystaného výročního iPhonu se blíží. Řada vlastností už byla potvrzena. Nyní přichází další, a to od neočekávaného zdroje. Vzhled telefonu...  celý článek

rozbitý telefon
Revoluční patent: mobil si sám opraví prasklý displej

Zní to jako pořádné sci-fi, ale praskliny na displeji možná mobily v budoucnu opraví samy. Poslední patent Motoroly naznačuje, že se na takové technologii už...  celý článek

TP-Link Neffos X1 Max
Vyrábí hlavně routery, teď se vrhli na smartphony. A docela jim to jde

Při pohledu na značku TP-Link si mnoho z nás vzpomene na logo na domácím routeru, ovšem asi málokdo si ji spojí se smartphonem. To se však může brzy změnit,...  celý článek

Huawei P10 Plus patří mezi nejlépe se prodávající modely značky
Huawei si jde za svým cílem. Apple by mohl sesadit už v tomto čtvrtletí

Společnost Huawei chce být v roce 2021 největším prodejcem smartphonů. Před sebou má dvě překážky - Apple a Samsung. V uplynulém čtvrtletí se však čínský...  celý článek

Další z rubriky

Ilustrační snímek
S těmito aplikacemi se o dovolené neztratíte. Najdou let i levný hotel

Místo slovníku, mapy a průvodce už řada lidí vyráží na dovolenou na neznámé místo jen se svým telefonem. V mnoha situacích je totiž neocenitelným pomocníkem....  celý článek

Aplikace Facebook Messenger Lite je dostupná i v Česku
Šetří místo i data. Dietní Messenger od Facebooku je i v Česku

Facebook Messenger je jedním z nejpoužívanějších kecálků, ale ne všechny telefony si s ním poradí. Loni se tak zrodila myšlenka na odlehčenou verzi určenou pro...  celý článek

Logo aplikace Sarahah
Už přes ni vyhrožovali smrtí. Přesto je aplikace extrémně populární

Vysoký nárůst popularity zaznamenala aplikace Sarahah, určená k posílání anonymních zpráv. Ačkoliv se v posledních týdnech těší velké oblibě, zahaluje ji také...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.