iphone-ticker.de — Alles zum iPhone. Seit 2007. 37 262 Artikel
   

Sicherheitsrisiko: iOS-Apps können ungefragt teure Telefonate einleiten

Artikel auf Mastodon teilen.
28 Kommentare 28

Auch wenn ihr nicht wisst, was Apples „URL-Schemata“ sind, in der Praxis hattet ihr höchstwahrscheinlich schon damit zu tun. Nehmt beispielsweise die Telefonnummer auf einer Webseite, die ihr antippen und damit einen Anruf auslösen könnt. Safari auf dem iPhone bittet hier vorsichtshalber um eure Zustimmung, bevor der Anruf ausgeführt wird – dies ist leider jedoch nicht bei allen Apps der Fall.

anruf-500

Laut neuesten Erkenntnissen ist es möglich, das sogenannte „URL-Schema tel“ in unzähligen Apps, darunter der Facebook Messenger, Gmail und Google+ zu aktivieren, ohne dass eine Bestätigung durch den Nutzer erforderlich ist. In der Folge könnte könnte eine manipulierte Nachricht oder E-Mail den Anruf bei einer kostenpflichtigen Telefonnummer auslösen, und dies nicht nur ohne zusätzliche Abfrage, sondern auch ohne euer Zutun. Wie der dänische Entwickler Andrei Neculaesei herausgefunden hat, kann man den Telefonlink auch so programmieren, dass er sich beim Empfang bzw. Aufruf der Nachricht selbst aktiviert.

A lot of people make fake assumptions such as links are only clicked by users. Using some sneaky-beaky-like javascript I quickly made the link click itself.

Verantwortlich für den Fehler sind laut Neculaesei die Entwickler der Apps. Apple gibt diesen ausdrücklich die Freiheit, eigene Hinweismeldungen für den Aufruf von Telefonnummern zu integrieren. Dies wird offenbar jedoch von vielen Entwicklern übersehen und in der Folge fehlt die Benachrichtigung komplett. Abhilfe können nun Updates für die betroffenen Apps schaffen, alternativ könnte Apple auch einen Standardhinweis zwingend vorschreiben anstatt auf das eigenverantwortliche Handeln der Entwickler zu vertrauen. (via PC World)

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
25. Aug 2014 um 08:05 Uhr von chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    28 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Hmm für Leute die sonder Nummer nicht gesperrt habe, ist das schon nicht ungefährlich. Ob das schon bei Apple auf dem Tisch liegt?

  • Ich bin erstaunt, dass Apple einen erzwungenen Hinweis / Bestätigungsaufforderung nicht schon längst integriert hat – in Sachen Sicherheit sind sie doch sonst immer ganz weit vorne.
    Jetzt, da das Thema auf dem Tisch ist, wird Apple dieses Lapsus sicherlich bald ausmerzen.

    • Ja, und wo wir gerade da bei sind! Das leidige Thema App-Zugriff auf die Kontaktliste. Auch hier liegt ja wohl Seitens Apples noch einiges im argen. Auch wenn die Zustimmung des Nutzers erfolgt, kann ich immer noch nicht ersehen welche der in der im eigenen Adressbuch hinterlegten Kontaktdaten durch eine App übertragenen werden. Im Speziellen geht es mir z.B. um hinterlegte Adressen, private Telefon-/Fax Nr. Geb.-Daten u. Jahrestage etc.

      Beispielhaft: WhatsApp und anderen derartige Dienste brauchen für ihre Dienstleistung ausschließlich die MobiltelNr. und sonst nichts. Hier ist Apple bei der Eingangskontrolle der App gefordert zu prüfen welche Daten tatsächlich übertragen werden und nötigenfalls die App nicht für iTunes freigeben.

      • WhatsApp überträgt ALLE Daten aus deiner Kontaktliste, also auch die Adresse und das Geburtsdatum. Ich finde gerade den Link zur Quelle nicht, aber mit Google wirst du schnell fündig.

        In iOS 8 hat Apple weitere Restriktionen für den Zugriff auf die Kontakte eingebaut. Ich weiß nur nicht ob man dann den Zugriff auf einzelne Kontakte erlauben kann, oder ob sogar der Zugriff auf bestimmte Daten eines Kontaktes beschränkt werden können.

  • Ich fände ne Datenschutzeinstellung Telefon gut. Da kann man dann einfach einstellen welche Apps auf das Telefon zugreifen können. Trotzdem muss dann noch für manipulierte Mails ein zwingender Hinweis hin. Aber das bekommt Apple sicherlich auf die Reihe, wenn der Aufschrei nur groß genug ist.

    • Ich glaube nicht das Apple noch viel mehr Einstellungen für die Zugriffsrechte möchte. Bei Android kann man ja schön sehen, welche Rechte eine App hat, bevor man die installiert. Für den normalen Apple-Kunden wäre das aber zu kompliziert ( bei Android werden das vermutlich auch weit über 90% ungelesen abnicken, wie die AGB).

      • Die Erfahrung und Umfragen zeigen aber, dass bei Android die Masse auf OK tippt, egal was da steht und dann kümmert man sich nicht mehr drum.
        Bei iOS 8 ist das ganz gut gelöst, dass bei allen Zugriffen auf verschiedene Systemkomponenten jeweils gefragt wird, wenn man die Anwendung startet. Dann kann ich gezielt wählen, ob die App z.B die Sensoren, Health oder das Telefonbuch benutzen darf und kann es wahlweise zulassen. Bei Android geht das Glaube ich nicht.

      • Ist ja schön und gut das ich das entsprechend sehen kann aber ich kann entweder nur zustimmen oder es komplett verweigern. Ich habe nicht die Möglichkeit bestimmte Sachen dann zuzulassen und bestimmte Sachen abzulehnen. Entweder ich akzeptiere alle Berechtigung dir die App vordert oder ich installiert die App nicht.

      • Ist ja schön und gut das ich das entsprechend sehen kann aber ich kann entweder nur zustimmen oder es komplett verweigern. Ich habe nicht die Möglichkeit bestimmte Sachen dann zuzulassen und bestimmte Sachen abzulehnen. Entweder ich akzeptiere alle Berechtigung dir die App vordert oder ich installiert die App nicht.

  • Finde ich nicht sehr relevant. Man kann ja auflegen bevor die Telefon App durch kommt.

  • Gehts im gesperten Zustand? Wohl kaum, also nur wenn man ne Mail oder Website öffnet, dann sieht man den Anruf doch sofort?!

    • Kennt ihr alle und damit meine ich wirklich ALLE Sonderrufnummern? :-)

      • Darum ging’s doch zu keinem Zeitpunkt.
        Zudem merkst Du doch wohl, wenn urplötzlich die Telefon App sich öffnet oder das Mikrofon an ist. Dann fragt man sich doch ganz von selbst „wollte ich das?“, ist die Antwort „nein“, ist es auch hinfällig was für eine Nummer angewählt wird.

        Zudem finde ich auch es ist schon sehr viel „könnte könnte“ hier verpackt.
        Zumal inzwischen jeder wissen dürfte, dass man nicht jede dämliche Email öffnen muss geschweige denn jeden Link anklicken. Mich würde jene Abfrage im Sinne von „Wollen Sie diese Nummer wirklich anrufen“ extrem stören. Und auch die App Berechtigungen sind nur begrenzt sinnig, Safari darf immer anrufen, außer es ist ne Böse Nummer?

  • „In der Folge könnte könnte eine manipulierte Nachricht oder E-Mail den Anruf bei einer kostenpflichtigen Telefonnummer auslösen, und dies nicht nur ohne zusätzliche Abfrage, sondern auch ohne euer Zutun.“

    Nein. Der entsprechende Link zur manipulierten Website muss aufgerufen werden. Der selbstklickende Link ist erst auf der aufgerufenen Seite, nicht in der Nachricht. Alles halb so wild und nichts Neues. Weiterhin funktioniert das nur im Webview, manipulierte Seiten im Browser machen nichts. Und wer darauf klickt, klickt auch auf Links von paypal -etc- und gibt seine Daten ein. Also alles wie immer; nicht auf jeden Spam-Link hereinfallen.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 37262 Artikel in den vergangenen 6054 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven