No lo han leído mal. Según cuentan en PCWorld, la gestión de algunos protocolos por parte del iPhone podrían estar incurriendo en un grave fallo de seguridad para los dueños del smartphone de Apple, ya que estaría lanzando aplicaciones sin permiso del propio usuario. Nos referimos al navegador Safari en su versión móvil. La compañía de la manzana podría haberle dado permiso para que el navegador actuara por su cuenta si una aplicación externa le pidiera ejecutar algún tipo de acción como realizar una llamada a través de VoiP sin conocimiento. La pregunta que me hago (y supongo que vosotros) es ¿de verdad es esto posible?

La respuesta, aunque suene a broma pesada, es posible que sea afirmativa, según afirma el investigador en seguridad Nitesh Dhanjani. Veamos. Safari, al igual que el resto de navegadores puede activar otras aplicaciones para gestionar protocolos URL como iframe embebidos o enlaces a otros. Imaginaros que un iframe llega con una URL con número de teléfono. Lo lógico sería que Safari preguntara al usuario si realizar o no esa llamada.

La investigación de Dhanjani ha descubierto que no ocurre siempre así. Al parecer, si en ese momento se están utilizando redes como servicios VoiP (Skype) en las que estamos dados de alta y registrados, Safari omite preguntar y actúa por su cuenta a través de la aplicación VoiP. Dhanjani lo explicaba, mostrando su preocupación:

Safari lanza sin previo aviso y tira de Skype para iniciar la llamada. La implicación en la seguridad es obvia. Pensemos en el uso que puede hacer un sitio malicioso de una aplicación como Skype y la activación de llamadas sin permiso.

El investigador dice que ya se ha puesto en contacto con Apple y que estos le han dicho que las aplicaciones de terceros deben ser codificadas antes de pedir permiso a la hora de realizar la acción. En cualquier caso, lo que ahora nos planteamos todos es si Apple, con todas las restricciones que opone con las aplicaciones de terceros y su entrada en el ecosistema de la manzana, no debería también comprobar las cadenas de URL antes de que lleguen a la App Store y comiencen a ser distribuidas. Este posible agujero afecta al usuario o cualquier empresa que utilice asiduamente Skype, ya que podemos ser el blanco perfecto para detectar nuestros datos a través de la identificación que hace Skype de nuestro ID cuando entra una llamada. ¿Qué le parece?