Sicherheitslücke in iOS-Apps ermöglicht ungewollte Telefonanrufe

In populären iOS-Apps gibt es eine Sicherheitslücke, die beim iPhone für den Benutzer unangenehme Konsequenzen haben kann. Angreifer können, ohne Zutun und Kontrolle des Benutzers, ungewollte Telefonanrufe, auch zu kostenpflichtigen Diensten, ausführen und so den iPhone-Besitzer abzocken.


Anzeige

Es ist schon kurios: Vorgestern hatte ich im Beitrag Uh–Android-Sicherheit: The bad and the ugly … über Sicherheitslücken in Android-Apps veröffentlicht. Beim Schreiben des Artikels schoss mir noch der Gedanke durch den Kopf "da werden die iOS-Nutzer aber frohlocken". Und nun das, auf welches ich gestern gestoßen bin: Der dänische Entwickler Andrei Neculaesei beschreibt hier in seinem Blog eine fette Sicherheitslücke, die er in iOS-Apps aufgedeckt hat.

Interessante Fußnote am Rande: Neculaesei ist Vollzeit-Entwickler beim Startup AIRTAME, über deren Produkt ich noch im Juli hier berichtet hatte.

Das Problem: Apps können das Apple URI-Schema tel:// verwenden und dies auch in Webviews (Webansichten von HTML-Seiten) nutzen. Man kann also so etwas wie tel://<kostenpflichte Nummer> in einer Webansicht verwenden und dann die URI im Webview aufrufen. Dann wird der Anruf durchgeführt, wobei auf Grund einer fehlenden Überprüfung durch die Apple-APIs keine Benutzernachfrage erfolgt. Neculaesei hat dazu eine einfache Webseite mit folgendem <a>-Tag aufgesetzt:

<a id="target" href="tel://0000">Ruf mich an</a>

Im Apple-eigenen Safari-Browser wurde die Seite angezeigt und bei Anwahl des Links erschien eine Nachfrage, ob man wirklich diese Nummer anrufen will. So weit so gut. Dann hat er den Link auf den Facebook-Messenger geschickt und hat Bauklötze gestaunt. Bei Anwahl des Links im Messenger wurde der Anruf ohne Nachfrage ausgeführt. Weitere Tests mit Apps wie der GMail- oder Google+-App führen zum gleichen Ergebnis.


Anzeige

Neculaesei beschreibt in seinem Blog-Beitrag, dass er ein kleines JavaScript in einer Webseite aufgesetzt hat, die den Klick des Links automatisch beim Öffnen ausführt. Schickt er dann diesen Code an Apps wie den Facebook-Messenger, die Gmail- oder Google+-App, wird der Anruf ohne Nachfrage ausgeführt. Auf seiner Webseite findet sich ein animiertes Bild, welches den Ablauf des "Angriffs" auf dem iPhone exemplarisch zeigt.

Angreifer können so über eine simple Nachricht mit Script-Code, gesendet an das iPhone des Benutzers, eine teure Service-Rufnummer anwählen lassen, ohne dass der Benutzer überhaupt eingreifen kann. Wie heise.de hier schreibt, besteht auch die Möglichkeit, die Rufnummer des iPhone zu ermitteln, falls die Funktion zur Übermittlung der Caller ID aktiviert ist.

Da der Safari vor Anwahl der Telefonnummer nachfragt, die oben genannten Apps aber nicht, haben die App-Entwickler laut Neculaesei die Dokumentation von Apple nicht richtig gelesen und keine Sicherheitsüberprüfung vor Ausführung des Aufrufs eingebaut. Oder anderes herum: Man verlässt sich darauf, dass Apple in seinen APIs diese Überprüfung vornimmt und den Benutzer um Genehmigung des Anrufs bittet. Das ist definitiv nicht der Fall, so dass jetzt das Kind in den "Brunnen gefallen ist".

Und damit schließt sich der Kreis zu meinem oben verlinkten Beitrag Uh–Android-Sicherheit: The bad and the ugly … über Sicherheitslücken in Android-Apps. Auch dort treten massive Sicherheitslücken auf, weil App-Entwickler die Dokumentation offenbar nicht gelesen haben oder sich keine Gedanken um Sicherheit machen. So werden bei SSL-Verbindungen Zertifikate nicht überprüft und bei Kontrollservern, mit denen die Apps kommunizieren, findet auch keine Prüfung auf die Gültigkeit der Domäne statt.

Kurzum: Selbst wenn das Betriebssystem mal keine Sicherheitslücken aufweist, die zahlreichen Hobby-App-Entwickler oder schludrig arbeitende Profis sorgen da, gepaart mit App-Builder-Baukästen schon dafür, dass mit der Sicherheit "den Bach runter geht". Schönes Wochenende.


Anzeige

Dieser Beitrag wurde unter iOS, iPhone, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Sicherheitslücke in iOS-Apps ermöglicht ungewollte Telefonanrufe

  1. Marc sagt:

    Daher ist der Vorab-Check (teilweise sehr lange dauern kann) der durch Apple durchgeführt in meinen Augen auch nur Augenwischerei.
    Sobald die og. "Standards" nicht eingehalten werden, sollt die app für neue Kauf gesperrt werden, damit der Programmierer kurzfristig nachbessern kann – denn auch dieser ist nur ein Mensch und kann Fehler machen.

    unverständlich ist hingegen, dass apps wie o.e. geprüft, zugelassen werden und dann unsichere Wochen/Monate lang online sind oder im anderen Fall gleich komplett aus iTunes entfernt werden. In beiden Fällen stimmt die Verhältnismäßigkeit nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.