{"id":104327,"date":"2016-11-09T19:04:38","date_gmt":"2016-11-09T18:04:38","guid":{"rendered":"https:\/\/www.iphone-ticker.de\/?p=104327"},"modified":"2016-11-09T19:08:07","modified_gmt":"2016-11-09T18:08:07","slug":"ohne-nachfrage-manipulierte-webseiten-starten-iphone-telefonate","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/ohne-nachfrage-manipulierte-webseiten-starten-iphone-telefonate-104327\/","title":{"rendered":"Ohne Nachfrage: Manipulierte Webseiten starten iPhone-Telefonate"},"content":{"rendered":"

Entsprechend vorbereitete Webseite k\u00f6nnen euer iPhone zum Aufbau eines neuen Telefonates ohne vorherige R\u00fcckfrage \u00fcberreden. Darauf macht der Sicherheitsforscher Collin Mulliner<\/a> in einem jetzt ver\u00f6ffentlichten Blog-Eintrag<\/a> aufmerksam.<\/p>\n

\"Anruf<\/a><\/p>\n

Neuer Rufaufbau: iOS fragt eigentlich nach<\/h6>\n

Der Fehler beschr\u00e4nkt sich auf iOS-Applikationen von Drittanbietern, die Apples Browser-Fenster, den sogenannten „WebView“, in ihren Applikationen einsetzen. Ein Standard bei vielen Drittanbieter-Applikationen.<\/p>\n

Ist die Anzeige des WebViews nicht richtig implementiert, verzichtet das Browser-Fenster auf die sonst \u00fcbliche Nachfrage und w\u00e4hlt die Nummer direkt.<\/p>\n

Mulliner konnte den Fehler sowohl in der Twitter- als auch in der LinkedIn-Applikation reproduzieren und ruft die Entwickler-Community dazu auf, ihre Anwendungen auf die beschriebene<\/a> Schwachstelle hin zu \u00fcberpr\u00fcfen.<\/p>\n

App developers should review their use of WebViews to determine if they are vulnerable to this attack. Vulnerable apps need to be fixed. Service providers like Twitter and LinkedIn can inspect links posted to their sites for containing malicious code and prevent those links from being posted to their service.<\/p>\n

Apple should change the default behavior of WebViews to exclude execution of TEL URIs and make it an explicit feature to avoid this kind of issues in the future. I reported this issue to Apple.<\/p><\/blockquote>\n

Apples Safari-Browser und Googles Chrome-App lassen sich von dem Javascript-Code, den Mulliner zum W\u00e4hlen der Nummer einsetzt gl\u00fccklicherweise nicht \u00fcberreden.<\/p>\n

Automatische Anrufe in der LinkedIn-App<\/h2>\n