iphone-ticker.de — Alles zum iPhone. Seit 2007. 19 495 Artikel
Schwachstelle in Apples WebView

Ohne Nachfrage: Manipulierte Webseiten starten iPhone-Telefonate

Artikel auf Google Plus teilen.
31 Kommentare 31

Entsprechend vorbereitete Webseite können euer iPhone zum Aufbau eines neuen Telefonates ohne vorherige Rückfrage überreden. Darauf macht der Sicherheitsforscher Collin Mulliner in einem jetzt veröffentlichten Blog-Eintrag aufmerksam.

Anruf 500

Neuer Rufaufbau: iOS fragt eigentlich nach

Der Fehler beschränkt sich auf iOS-Applikationen von Drittanbietern, die Apples Browser-Fenster, den sogenannten „WebView“, in ihren Applikationen einsetzen. Ein Standard bei vielen Drittanbieter-Applikationen.

Ist die Anzeige des WebViews nicht richtig implementiert, verzichtet das Browser-Fenster auf die sonst übliche Nachfrage und wählt die Nummer direkt.

Mulliner konnte den Fehler sowohl in der Twitter- als auch in der LinkedIn-Applikation reproduzieren und ruft die Entwickler-Community dazu auf, ihre Anwendungen auf die beschriebene Schwachstelle hin zu überprüfen.

App developers should review their use of WebViews to determine if they are vulnerable to this attack. Vulnerable apps need to be fixed. Service providers like Twitter and LinkedIn can inspect links posted to their sites for containing malicious code and prevent those links from being posted to their service.

Apple should change the default behavior of WebViews to exclude execution of TEL URIs and make it an explicit feature to avoid this kind of issues in the future. I reported this issue to Apple.

Apples Safari-Browser und Googles Chrome-App lassen sich von dem Javascript-Code, den Mulliner zum Wählen der Nummer einsetzt glücklicherweise nicht überreden.

Automatische Anrufe in der LinkedIn-App

Automatische Anrufe in der Twitter-App

Mittwoch, 09. Nov 2016, 19:04 Uhr — Nicolas
31 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Zeit die 0190er Nummern beim Provider zu sperren :-)

  • TurnerOverdrive

    Ach Apple ist ja sooooooo sicher….

    • „Apples Safari-Browser und Googles Chrome-App lassen sich von dem Javascript-Code, den Mulliner zum Wählen der Nummer einsetzt glücklicherweise nicht überreden.“

    • …was bist du denn für ein Troll!

    • Apple ist sicher, das iPhone ist aber nicht sicher vor schlechten Fremdarbeiter Apps oder einem jailbreak.

      • Apple sollte entweder eine vernünftige Kontrolle der Apps durchführen, oder seine Schnittstellen so bauen, dass nicht jeder Programmierer einzeln die Sicherheit implementieren muss. Von vorsätzlichem Missbrauch mal ganz abgesehen.

      • Es ging nicht um ‚Sicherheit implementieren‘, aondern darum, den WebView korrekt (!) zu implementieren. Grosser Unterschied.

      • Was spricht dagegen, dass Apple diese Sicherheitslücke direkt schließt? Wenn die Sicherheit des iPhones davon abhängig ist, dass die Entwickler die Schnittstellen richtig implementieren, dann ist da was falsch gelaufen. Da könnte Apple ja das ganze Sandbox-System abschaffen und es den Softwareentwicklern überlassen, das richtig zu implementieren.
        Aber ich höre jetzt auf. Kritik an Apple wird hier ja nicht gern gesehen.

      • Mir ist Kritik egal, gibt auch einiges was mich an Apple nervt, aber das ist keine Sicherheitslücke, sondern Programmierfehler. Ich glaube solche Sachen finden sich wie Bugs in einer Beta, sie tauchen auf und evtl. Ändert Apple etwas daran. Es gefährdet weder Daten, noch das iphone, es gefährdet höchstens den Geldbeutel, da das aber beim Surfen passiert, kann man auf abbrechen drücken.

    • Ja, zum Glück gibt es die Eingangskontrolle in Apples Store.

    • Selber schuld wenn du ne Wallpaper App verwendest

    • Der Bub ohne Bachmann ist halt nicht die hellste Kerze auf der Torte und liest nur den Bullshit, den er lesen möchte. Könnte eigentlich ein genetischer Abkomme von Donald Duck Trump sein.

  • Ist mir passiert. Hab 59sekunden mit Südkorea telefoniert -.-

  • schön wäre ein Hinweis, wie man das bemerkt? kann ein Anruf im Hintergrund wählen?

  • Es gibt keine Einstellung, die das unterbindet? Außer vielleicht Flugmodus und dann WLan an?

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 19495 Artikel in den vergangenen 3387 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2016 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven