{"id":15292,"date":"2010-11-10T16:50:15","date_gmt":"2010-11-10T15:50:15","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=15292"},"modified":"2010-11-10T16:50:35","modified_gmt":"2010-11-10T15:50:35","slug":"praparierte-webseiten-offnen-iphone-apps-ohne-nachfrage","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/praparierte-webseiten-offnen-iphone-apps-ohne-nachfrage-15292\/","title":{"rendered":"Pr\u00e4parierte Webseiten \u00f6ffnen iPhone-Apps ohne Nachfrage"},"content":{"rendered":"<p><a href=\"http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2010\/11\/skypeanrufe.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2010\/11\/skypeanrufe.jpg\" alt=\"\" title=\"skypeanrufe\" width=\"240\" height=\"156\" class=\"alignright size-full wp-image-15293\" \/><\/a>Der Hinweis des IT-Sicherheitsexperten <a href=\"http:\/\/www.dhanjani.com\/blog\/2010\/11\/insecure-handling-of-url-schemes-in-apples-ios.html\">Nitesh Dhanjani<\/a> zur suboptimalen iOS-Handhabe bestimmter <a href=\"http:\/\/de.wikipedia.org\/wiki\/Uniform_Resource_Locator\">URL-Protokolle<\/a> ist ohne Frage relevant und sollte von Apple in einem der n\u00e4chsten iOS-Update durchaus ber\u00fccksichtigt werden &#8211; ein ernstzunehmendes Sicherheitsproblem sehen wir in den hier beschriebenen Eigenarten des &#8222;<a href=\"http:\/\/developer.apple.com\/library\/safari\/#featuredarticles\/iPhoneURLScheme_Reference\/Introduction\/Introduction.html\">URL Scheme Index<\/a>&#8220; jedoch nicht. <\/p>\n<p>Von vorne: Speziell vorbereitete URLs vorausgesetzt, ist das iPhone in der Lage bestimmte Applikationen direkt anzusprechen: <\/p>\n<ul>\n<li>tel:1-408-555-5555 \u00f6ffnet beispielsweise die Telefon-Applikation<\/li>\n<li>Ein Klick auf http:\/\/maps.google.com\/maps?q=cupertino aktiviert Googles Karten-Anwendung<\/li>\n<li>Und wer auf mailto:frank@apple.example.com tippt startet die eMail-Applikation des iPhones. <\/li>\n<\/ul>\n<p>\u00dcblicherweise fragt das iPhone vor dem Start der jeweiligen Anwendung jedoch noch mal nach: Soll der Anruf wirklich abgesetzt werden? Ja &#8211; OK, Nein &#8211; Abbrechen. <\/p>\n<p>Laut Dhanjani vergessen jedoch gerade Applikationen von Drittherstellern, dem Nutzer die M\u00f6glichkeit zu geben, durch URLs aktivierte Arbeitsabl\u00e4ufe zu unterbrechen. Setzt man beispeilsweise den Link skype:\/\/14085555555?call auf einer speziell vorbereiteten Webseite <a href=\"http:\/\/de.wikipedia.org\/wiki\/Iframe\">in einem iFrame<\/a> ein, versucht Skype beim Aufruf der Webseite die Nummer zu w\u00e4hlen. <\/p>\n<blockquote><p><em>&#8222;In this case, Safari throws no warning, and yanks the user into Skype which immediately initiates the call. The security implications of this is obvious, including the additional abuse case where a malicious site can make Skype.app call a Skype-id who can then uncloak the victim\u2019s identity (by analyzing the victim\u2019s Skype-id from the incoming call).&#8220;<\/em><\/p><\/blockquote>\n<p>Auch Heise hat sich dem Thema angenommen <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Webseiten-koennen-iPhone-Anwendungen-ohne-Nachfrage-starten-1133916.html\">und schreibt<\/a>: <em>Apple erkl\u00e4rte [&#8230;], dass die Autorisierung f\u00fcr bestimmte Aktivit\u00e4ten in der Verantwortung der jeweiligen App liege. Es seien also die jeweiligen Entwickler gefordert, eine Autorisierung zum Aufruf einer speziellen URi zu implementieren. Nach Meinung von Dhanjani sei das aber schwer zu verwirklichen, da die Apps ja au\u00dferhalb von Safari gestartet w\u00fcrden und somit der entscheidende Punkt der Abfrage zu Erlaubnis bereits \u00fcberschritten sei. <\/em> &#8211; Danke Thomas<\/p>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.iphone-ticker.de\/praparierte-webseiten-offnen-iphone-apps-ohne-nachfrage-15292\/\"><img decoding=\"async\" width=\"150\" src=\"http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2010\/11\/skypeanrufe.jpg\" class=\"alignright wp-post-image tfe\" alt=\"\" title=\"skypeanrufe\" \/><\/a><p>Der Hinweis des IT-Sicherheitsexperten Nitesh Dhanjani zur suboptimalen iOS-Handhabe bestimmter URL-Protokolle ist ohne Frage relevant und sollte von Apple in einem der n\u00e4chsten iOS-Update durchaus ber\u00fccksichtigt werden &#8211; ein ernstzunehmendes Sicherheitsproblem sehen wir in den hier beschriebenen Eigenarten des &#8222;URL Scheme Index&#8220; jedoch nicht. Von vorne: Speziell vorbereitete URLs vorausgesetzt, ist das iPhone in der [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[3912,5661,238,75],"class_list":["post-15292","post","type-post","status-publish","format-standard","hentry","category-news","tag-apple","tag-ios","tag-security","tag-skype"],"aioseo_notices":[],"rest_api_enabler":[],"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/15292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=15292"}],"version-history":[{"count":2,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/15292\/revisions"}],"predecessor-version":[{"id":15295,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/15292\/revisions\/15295"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=15292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=15292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=15292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}