Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Jeden klik vás může stát jmění. Aplikacím schází bezpečnostní opatření

aktualizováno 
Díky kontaktům ve formě odkazů odpadla uživatelům aplikací nutnost číslo kopírovat. Ale v mnoha případech, aniž by byli požádáni o potvrzení, stačí k uskutečnění hovoru pouhé kliknutí na odkaz. Nedostatečné zabezpečení aplikací pro systém iOS tak nahrává podvodníkům, kteří z něj pak finančně profitují.
Nedostatečné bezpečnostní opatření mnohých aplikací představuje riziko. Ilustrační snímek

Nedostatečné bezpečnostní opatření mnohých aplikací představuje riziko. Ilustrační snímek | foto:  Tomáš Krist, MAFRA

Na problém, který může nepozorné uživatele připravit mnohdy o ne zrovna zanedbatelný finanční obnos, upozornil na blogu Andrei Neculaesei z kodaňské společnosti Airtame. Vytočit telefonní číslo zvládne již většina mobilních aplikací, mnohé z nich však bez předchozího dotazu na uživatele, zda má být hovor uskutečněn.

Jak Neculaesei zmiňuje, například v aplikaci Safari musí uživatel nejprve potvrdit, že chce číslo skrývající se například i pod nic neříkajícím odkazem skutečně vytočit. U řady jiných aplikací včetně Messengeru od Facebooku či Google+ však takové bezpečnostní opatření schází. Mnohé aplikace ho přitom obsahují, ale mají ho vypnuté.

Aby na problém upozornil, vytvořil Neculaesei speciální webovou stránku s JavaScriptem. Po kliknutí na odkaz se však místo zobrazení stránek automaticky vytočí předvolené číslo. V tom lepším případě by měl být uživatel ještě vyzván k potvrzení vytáčení. Autor stránek tak demonstroval, jak může být odkaz zaslaný například přes Messenger nebezpečný. Zejména v případě, kdy se pod odkazem budou skrývat telefonní čísla zpoplatněná vysokou sazbou.

Odkaz, z něhož bude autor finančně profitovat, přitom může vytvořit téměř kdokoli, stačí základní znalost kódování webových stránek. Zda příslušná aplikace obsahuje bezpečnostní opatření, si lze ověřit zadáním adresy http://box.algorithm.dk/ios/02.html, kterou Neculaesei vytvořil.

Autor blogu při následném testování zjistil, že mezi aplikace, jež telefonní číslo vytočí bez dotazu, patří kromě výše zmíněných také Gmail od Googlu. Volání na podvodné číslo je zneužitelné i v kombinaci s aplikací FaceTime, kdy volaný získá další důležité podrobnosti o volajícím. Včetně jeho podoby. Z nedostatečných bezpečnostních opatření u aplikací, za nimiž stojí velké společnosti, lze usuzovat, že mnohé menší vývojářské týmy se tímto rizikem pravděpodobně vůbec nezabývaly.

Na problematiku upozornil Neculaesei v rámci výzkumu prezentovaného začátkem srpna na bezpečnostní konferenci Bsides v Las Vegas. Na zneužitelnost schématu URI (Uniform Resource Identifier), tedy jednotného identifikátoru zdroje, upozornil také bezpečnostní poradce Guillaume K. Ross. Jeho prostřednictvím může podvodník získat i citlivá soukromá data uživatele mobilního telefonu.

Uvedený odkaz jsme vyzkoušeli v prohlížečích Safari a Opera Mini a v obou případech jsme byli vyzváni k potvrzení hovoru na číslo 0000. Avšak po kliknutí na odkaz zaslaný přes Messenger byl hovor okamžitě uskutečněn. Pokud tedy nebude uživatel při klikání na neznámé odkazy obezřetný, může se koncem zúčtovacího období dočkat nemilého překvapení. Riziko zneužití je vysoké a stejně tak i finanční profit podvodníka.

Autor:



Nejčtenější

Berte, dokud je. Mobil pro fajnšmekry po neúspěchu drasticky zlevnil

Essential PH-1

Keramické tělo, jeden z nejmodernějších procesorů, 128 GB vnitřní paměti a velký displej s tenkými rámečky a...

Konkurenci poprvé ukazuje záda, Huawei P20 Pro je nejlepší smartphone

Huawei P20 Pro

Čínský Huawei si dal letos na nových modelech řady P20 opravdu záležet. Model P20 Pro chce být tím nejlepším...



Američtí teenageři se mohou z iPhonů zbláznit. A zájem roste

iPhone 8 Plus v Drážďanech

Ve Spojených státech je mezi mladými uživateli smartphonů enormní zájem o iPhony - v současnosti je vlastní 82 procent...

Revoluce v mobilním focení? Umí nasadit profi objektiv na smartphony

S adaptérem můžete na mobil nasadit i profesionální objektivy

Na výstavě americké Národní asociace provozovatelů vysílání v Las Vegas byl ukázán zajímavý doplněk k mobilům pro...

ZTE má našlápnuto předehnat Apple s „ledovým“ smartphonem

ZTE Iceberg

ZTE chystá zajímavý smartphone, který zaujme dvakrát vykrojeným displejem. Přístroj má vypadat, jako by byl vytesaný z...

Další z rubriky

Online randění pozastaveno. Facebook nechtěně odstřihl uživatele od Tinderu

Aplikace Tinder

Změna bezpečnostních nastavení Facebooku v reakci na nedávné skandály s úniky dat má celkem závažný důsledek pro ty,...

Google loni zlikvidoval 700 tisíc aplikací

Mobilní aplikace

Z aplikačního obchodu Google Play bylo loni odstraněno 700 tisíc aplikací, většina zmizela prakticky ihned po umístění...

Na dovolené se můžete seznámit i nespálit

Ilustrační snímek

Na dovolenou si bereme kde co, ovšem počítač/notebook často zůstává doma. Ten je na jedné straně prostředkem k...

recepty-emimino-krupave-bramboraky
recepty-emimino-krupave-bramboraky

Víte, v čem je kouzlo křupavých bramboráčků? My ano!



Najdete na iDNES.cz