iphone-ticker.de — Alles zum iPhone. Seit 2007. 18 979 Artikel
   

Präparierte Webseiten öffnen iPhone-Apps ohne Nachfrage

Artikel auf Google Plus teilen.
35 Kommentare 35

Der Hinweis des IT-Sicherheitsexperten Nitesh Dhanjani zur suboptimalen iOS-Handhabe bestimmter URL-Protokolle ist ohne Frage relevant und sollte von Apple in einem der nächsten iOS-Update durchaus berücksichtigt werden – ein ernstzunehmendes Sicherheitsproblem sehen wir in den hier beschriebenen Eigenarten des „URL Scheme Index“ jedoch nicht.

Von vorne: Speziell vorbereitete URLs vorausgesetzt, ist das iPhone in der Lage bestimmte Applikationen direkt anzusprechen:

  • tel:1-408-555-5555 öffnet beispielsweise die Telefon-Applikation
  • Ein Klick auf http://maps.google.com/maps?q=cupertino aktiviert Googles Karten-Anwendung
  • Und wer auf mailto:frank@apple.example.com tippt startet die eMail-Applikation des iPhones.

Üblicherweise fragt das iPhone vor dem Start der jeweiligen Anwendung jedoch noch mal nach: Soll der Anruf wirklich abgesetzt werden? Ja – OK, Nein – Abbrechen.

Laut Dhanjani vergessen jedoch gerade Applikationen von Drittherstellern, dem Nutzer die Möglichkeit zu geben, durch URLs aktivierte Arbeitsabläufe zu unterbrechen. Setzt man beispeilsweise den Link skype://14085555555?call auf einer speziell vorbereiteten Webseite in einem iFrame ein, versucht Skype beim Aufruf der Webseite die Nummer zu wählen.

„In this case, Safari throws no warning, and yanks the user into Skype which immediately initiates the call. The security implications of this is obvious, including the additional abuse case where a malicious site can make Skype.app call a Skype-id who can then uncloak the victim’s identity (by analyzing the victim’s Skype-id from the incoming call).“

Auch Heise hat sich dem Thema angenommen und schreibt: Apple erklärte […], dass die Autorisierung für bestimmte Aktivitäten in der Verantwortung der jeweiligen App liege. Es seien also die jeweiligen Entwickler gefordert, eine Autorisierung zum Aufruf einer speziellen URi zu implementieren. Nach Meinung von Dhanjani sei das aber schwer zu verwirklichen, da die Apps ja außerhalb von Safari gestartet würden und somit der entscheidende Punkt der Abfrage zu Erlaubnis bereits überschritten sei. – Danke Thomas

Mittwoch, 10. Nov 2010, 16:50 Uhr — Nicolas
35 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Immer diese blöden Kommentare. „Und was sagt uns das?“. Es ist einfach eine Information. Oder ruft ihr bei der Tagesschau an und fragt was ihr mit den börsennachrichten sollt.

    Danke ifun. Finde euch einfach nur Klasse, auch wenn themen vorkommen die mich nicht unbedingt interessieren.
    Habe euch heute 5 Sterne gegeben;-)
    Weiter so…

  • tel:1-408-555-5555 öffnet bei mir nichts!!!!! Kommt Fehlermeldung in Safari !!!!

  • Stimmt, manchmal sind dieKommentare da einfach nur peinlich !!
    Danke auch dem Team auf diesem Wege für die absolut gelungene Info app. Bin mehrmals tägl bei euch und natürlich immer top informiert.
    Vielen Dank und weiter so

  • sms:123456… bzw. smsto:123456… und Mut angehängtem GET-Parameter, z.B. ?body=Hallo öffnet eine SMS mit dem Inhalt „Hallo“ und den vorgewählten Nummer 123456… Man braucht nur auf Senden klicken, aber das ist ein alter Hut!

  • Also bei dem tel: Befehl passier bei mir nichts. Die Mailto Funktion sehe ich nicht als gefährlich an, geht ja schließlich auch bei jedem PC so. Und das mit der Karte hinterlässt nun auch keine Angst bei mir :)

      • Expertenmeinung

        Wenn ich eine Nummer tippe und dann auf den grünen Hörer tatsche, fängt mein iPhone das tuten an… muss ich mir Sorgen machen?
        Unlängst konnte ich mit einem unbedachten Tastendruck sogar eine Art Momentaufnahme meiner Umwelt erstellen… mein iPhone wird mir unheimlich.
        Was sagt uns das? Gamecenter-Nick „Vollpfosten“, bidde ädäd mich…

      • naja, das könnte schon gefährlich werden.
        szenario: ein script schafft es zusätzlich die „telefon-app“ (oder scype-app, das ist wohl realistischer) in den hintergrund zu multi-tasken. dann ist schnell dein guthaben vertelefoniert, ohne das du es merkst. hab noch nie sone nummer per skype angerufen, aber wenn man damit auch sehr teure nummern (wie sex-lines oder so) erreichen kann, könnte die betreiber fies absahnen.

        hab auch keine angst. aber das als ungefährlich abzutun, herr experte…

      • Expertenmeinung

        Wo steht ungefährlich?

        Für die lieben Kleinen ist natürlich ein Hinweis nie verkehrt, nicht auf alles zu klicken, was blink-blink macht, da geb ich dir sogar recht!

      • Dazu müsste jenes script das iPhone gleich noch jailbreaken und etwas preisklasse dem backrounder installieren, denn das Multitasking des iOS 4.x kann so etwas meines Wissens nicht.

        (Wird das hier jetzt also zum hoax oder was? ;) )

        Ansonsten gilt:
        Eigenverantwortlich handeln bis Apple endlich eine etwas bessere Lösung präsentiert.
        Wobei bei sowas immer ein gewisses Maß an Eigenverantwortung nötig sein wird (übrigens plattformunabhängig).

  • Mit dem fgBrowser passiert das nicht.

    Und wenn’s mal doch erwünscht ist kann man mit einer Geste 2 Finger parallel nach unten dies triggern.

    Und obendrein tolles Vollbild browsen und shnelle Gesten….

  • *cokt* Angst ? … Wir sind Männer und keine Memmen! Meine Güte … es gibt Dinge im Leben, die einem Angst machen könnten, wenn man bedenke Dummheit würde weh tun … da würde die ganze Menschheit in Schmerzen liegen *tsts

    *bier*

  • Wäre es rein technisch nicht auch möglich somit einen automatisierten Klick auf ein werbebanner auszulösen?

    Ifun hat ja mal über die abzocke mit Werbebannern berichtet. ( Habe den Link gerade nicht da)

    Das wäre sonst ein schönes Modell zur Abzocke!

  • Nein, nicht ganz richtig. Das man bestimmte Apps über die URL-Öffnen kann ist eine Grundfunktion von MacOSX und iOS. Wenn man beim Mac Steam oder Skype installiert hat kann man skype mit der url skype: öffnen und dann befehle zuweißen. Ebenfalls geht dies auch mit Steam, das hat man zb. bei der Beta benötigt.

  • Ich verstehe das ganze Problem nicht! Die Sache mit den URL-Schemes ist eine wesentliche Erleichterung, um z.B. Links zu Dokumenten in Notizen ablegen zu können, die dann automatisch mit der richtigen App geöffnet werden. Mit deren Hilfe werden z.B. auch mms://-Streams direkt im VLC-Player geöffnet.
    Das Ganze funktioniert nur, wenn man zuvor selbst die entsprechende Ziel-App installiert hat. Wenn diese dann Blödsinn macht, ohne den Benutzer ggf. zuvor um Erlaubnis zu fragen, dann kann man diese immer noch entfernen bzw. ist selbst daran schuld! Eine generelle Abfrage nervt hingegen wieder bei 99% der sinnvollen Anwendungen und letztlich ist man auch irgendwie selbst dafür verantwortlich, was man installiert und worauf man klickt!

  • DasFragezeichen

    Bei iOS: Ist doch egal!

    Bei Android: Hahaha EPIC fail pwned loool

    So gehts hier zu in den Kommentaren..

  • Komischer Weise sind die die sowas nicht ernst nehmen auch die, die hinterher am lautesten jammern !!!

    Schmunzel

    BOFH ???? Noe, aber einer der nicht mehr alles 10 mal vorbetet!

    Man braucht auch so seine schmunzel tage.

    DANK an IFun !!! Chapeau !!!
    Muss auch mal geschrieben sein, wo ich ueber einige Kommentare hier so mecker

  • Ich finds jetzt nicht so schlimm. Oh, ein Elch will meine Kreditkartennummer. Das klingt fair!

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 18979 Artikel in den vergangenen 3314 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2016 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven