Dat schrijft Brian Chess op het weblog van Fortify Software.

Chess wijst er onder meer op dat de e-mailclient van de Iphone de url van een te bezoeken link niet toont. "Een phisher kan dus spam versturen met de tekst 'klik hier om naar Paypal te gaan', terwijl de link naar paypal.fakesite.ro gaat. Je weet pas wat er gebeurt als je hebt geklikt."

Bij de webbrowser van de Iphone doet zich eveneens een veiligheidsprobleem voor. "De browser toont alleen de ongeveer eerste twintig karakters van een url. Daardoor is het makkelijk een cross site scripting aanval te verbergen zonder dat de gebruiker het doorheeft." Bovendien is het mogelijk om met behulp van Javascript de url-balk te verwijderen.

Javascript kan ook worden gebruikt om de gebruiker ertoe te verleiden om een telefoonnummer te bellen. Met een simpele code kun je de gebruiker de keuze voorleggen om een voorgeprogrammeerd nummer te bellen. Op die manier zouden oplichters Iphone-bezitters kunnen overhalen om persoonlijke informatie te verstrekken aan een niet-bestaande 'helpdesk', waarschuwt Chess.

Het is de vraag hoeveel gebruikers voor een dergelijke truc zullen vallen. "Je moet wel eerst zelf toestemming geven voordat de telefoon begint met bellen", geeft Chess toe. Voor wat betreft de veiligheidsproblemen in de e-mail- en web-clients, verwacht de onderzoeker dat Apple snel maatregelen zal nemen. Bron: Techworld