Krátky kód na stránke môže spustiť volanie Skype

Pravidla fóra
Vytvárajte len vlákna určené na informovanie o novinkách okolo Apple, iOS a podobne. Všetky ostatné témy, neaktuálne alebo vymyslené informácie či žiadosti o pomoc sem nepatria.
Odpovědět
Uživatelský avatar
rony
Klub čistého iOS
Klub čistého iOS
Příspěvky: 19699
Registrován: pát pro 14, 2007 12:37 am

Krátky kód na stránke môže spustiť volanie Skype

Příspěvek od rony »

Takýto kód:

Kód: Vybrat vše

<iframe src=?skype://14085555555?call"></iframe>


Ale aj iné podobné konštrukcie po načítaní stránky s ním okamžite spustí volanie pomocou Skype na iPhone.

Chybu spôsobuje nebezpečné spracovanie URL v iOS. viac informácii o tomto probléme.

Za normálnych okolností podobný kód:

Kód: Vybrat vše

<iframe src=?tel:1-408-555-5555?></iframe>


zobrazí varovanie a používateľ si môže vybrať, či naozaj má iphone volať.

Aktuálne si fix môžu "vyrobiť" majitelia jailbreaknutých telefónov. Ostatní si musia dávať pozor.
/\/\ /\ > /\ / Facebook skupina Uživatelé Apple Watch a fb.com/forum.iphone.cz
 mac mini  iPhone  4  5S  X  13 Pro  iPad Pro  Pencil  TV4  HomePod  WATCH  AirPods
Nahoru
Marek
Moderator fóra
Moderator fóra
Příspěvky: 4941
Registrován: pon led 04, 2010 11:19 am

Re: Krátky kód na stránke môže spustiť volanie Skype

Příspěvek od Marek »

Myslím že pre Apple to je dalšia dosť závažna chyba tak ako chyba v pdf
MacBook Air
Magic Mouse
iPhone 5
Nahoru
ScorpionSX
Klub čistého iOS
Klub čistého iOS
Příspěvky: 368
Registrován: stř říj 14, 2009 8:27 pm

Re: Krátky kód na stránke môže spustiť volanie Skype

Příspěvek od ScorpionSX »

Toto ale platí len pokial mám nainštalovaný Skype (logicky), zatial čo chyba s PDF sa týkala každého.
    ObrázekObrázekObrázek

    Obrázek iPhone 4S 16GB White [iOS 6.1.2]
    Obrázek iPad (2012) WiFi 16GB White [iOS 6.1.2]

    "My new computer came with Windows 7. Windows 7 is much more user-friendly than Windows Vista. I don't like that."
Nahoru
Uživatelský avatar
rony
Klub čistého iOS
Klub čistého iOS
Příspěvky: 19699
Registrován: pát pro 14, 2007 12:37 am

Re: Krátky kód na stránke môže spustiť volanie Skype

Příspěvek od rony »

Toto plati nielen pre SKYPE. Plati to aj na rozne ine aplikacie, ktore by mohli vykonat nieco, cim prides o peniaze alebo, co prinesie prospech podvodnikovi.

pre mna nie je problem urobit web v nom skryt tisic tychto iframe s roznymi app a jedna sa uz u teba najde.

Je to problem, ze sa neodchyti aktivita potvrdenim ale rovno sa spusti.
/\/\ /\ > /\ / Facebook skupina Uživatelé Apple Watch a fb.com/forum.iphone.cz
 mac mini  iPhone  4  5S  X  13 Pro  iPad Pro  Pencil  TV4  HomePod  WATCH  AirPods
Nahoru
ScorpionSX
Klub čistého iOS
Klub čistého iOS
Příspěvky: 368
Registrován: stř říj 14, 2009 8:27 pm

Re: Krátky kód na stránke môže spustiť volanie Skype

Příspěvek od ScorpionSX »

Aha. V tom prípade beriem späť čo som povedal, predsa len je to celkom závažná chyba. (Z nadpisu a prvého postu to ale predsa len vyzeralo, že sa to týka len Skype)

Len rozmýšlam, ako by napr. spustenie takejto app útočníkovi pomohlo...veď napr. in-app purchases musím potvrdiť, aj nakupovanie na webe treba povrdiť,...alebo že napr. otvorí Facebook a pozrie si zoznam mojich kontaktov...
    ObrázekObrázekObrázek

    Obrázek iPhone 4S 16GB White [iOS 6.1.2]
    Obrázek iPad (2012) WiFi 16GB White [iOS 6.1.2]

    "My new computer came with Windows 7. Windows 7 is much more user-friendly than Windows Vista. I don't like that."
Nahoru
Antabelus
iPhone guru
iPhone guru
Příspěvky: 1218
Registrován: ned bře 09, 2008 11:22 am

Re: Krátky kód na stránke môže spustiť volanie Skype

Příspěvek od Antabelus »

To už si můžu koupit rovnou nějakou Nokii se Symbianem, jestli se mě bude iPhone pořád na něco ptát. Bude stačit doladit to tak, aby se tyto kódy spouštěly až po reálném kliknutí uživatele na určitý prvek a ne samo od sebe.
Nahoru
Uživatelský avatar
rony
Klub čistého iOS
Klub čistého iOS
Příspěvky: 19699
Registrován: pát pro 14, 2007 12:37 am

Re: Krátky kód na stránke môže spustiť volanie Skype

Příspěvek od rony »

ved preto je ta finta cez IFRAME, chyba je, ze sa tam taka url spracuje a spusti to. Nejde totiz o obsah ale len nieco ako redirect inde. Normalne v kode ako <a href="... by sa nic nedialo.

Preto to volaju chybne spracuvanie URL :) a iframe je skutocne taky, ze ten src parameter si nacita ako keby novu webstranku a potom vlozi to co vypocital render tej url ako obsah ramika.

Vsetko, co to malo robit bolo, ze to nedovoli tieto redirect protokoly.
/\/\ /\ > /\ / Facebook skupina Uživatelé Apple Watch a fb.com/forum.iphone.cz
 mac mini  iPhone  4  5S  X  13 Pro  iPad Pro  Pencil  TV4  HomePod  WATCH  AirPods
Nahoru
Odpovědět

Zpět na „Novinky o iPhone a dalších Apple produktech“