![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Apple.jpg\")
In popul\u00e4ren iOS-Apps gibt es eine Sicherheitsl\u00fccke, die beim iPhone f\u00fcr den Benutzer unangenehme Konsequenzen haben kann. Angreifer k\u00f6nnen, ohne Zutun und Kontrolle des Benutzers, ungewollte Telefonanrufe, auch zu kostenpflichtigen Diensten, ausf\u00fchren und so den iPhone-Besitzer abzocken. <\/p>\n
<\/p>\n
Interessante Fu\u00dfnote am Rande: Neculaesei ist Vollzeit-Entwickler beim Startup AIRTAME, \u00fcber deren Produkt ich noch im Juli hier berichtet<\/a> hatte.<\/p>\n<\/blockquote>\n Das Problem: Apps k\u00f6nnen das Apple URI-Schema tel:\/\/<\/em> verwenden und dies auch in Webviews (Webansichten von HTML-Seiten) nutzen. Man kann also so etwas wie tel:\/\/<kostenpflichte Nummer><\/em> in einer Webansicht verwenden und dann die URI im Webview aufrufen. Dann wird der Anruf durchgef\u00fchrt, wobei auf Grund einer fehlenden \u00dcberpr\u00fcfung durch die Apple-APIs keine Benutzernachfrage erfolgt. Neculaesei hat dazu eine einfache Webseite mit folgendem <a>-Tag aufgesetzt:<\/p>\n <a id=\"target\" href=\"tel:\/\/0000\">Ruf mich an<\/a><\/em><\/p>\n Im Apple-eigenen Safari-Browser wurde die Seite angezeigt und bei Anwahl des Links erschien eine Nachfrage, ob man wirklich diese Nummer anrufen will. So weit so gut. Dann hat er den Link auf den Facebook-Messenger geschickt und hat Baukl\u00f6tze gestaunt. Bei Anwahl des Links im Messenger wurde der Anruf ohne Nachfrage ausgef\u00fchrt. Weitere Tests mit Apps wie der GMail- oder Google+-App f\u00fchren zum gleichen Ergebnis. <\/p>\n Neculaesei beschreibt in seinem Blog-Beitrag, dass er ein kleines JavaScript in einer Webseite aufgesetzt hat, die den Klick des Links automatisch beim \u00d6ffnen ausf\u00fchrt. Schickt er dann diesen Code an Apps wie den Facebook-Messenger, die Gmail- oder Google+-App, wird der Anruf ohne Nachfrage ausgef\u00fchrt. Auf seiner Webseite<\/a> findet sich ein animiertes Bild, welches den Ablauf des \"Angriffs\" auf dem iPhone exemplarisch zeigt. <\/p>\n Angreifer k\u00f6nnen so \u00fcber eine simple Nachricht mit Script-Code, gesendet an das iPhone des Benutzers, eine teure Service-Rufnummer anw\u00e4hlen lassen, ohne dass der Benutzer \u00fcberhaupt eingreifen kann. Wie heise.de hier schreibt<\/a>, besteht auch die M\u00f6glichkeit, die Rufnummer des iPhone zu ermitteln, falls die Funktion zur \u00dcbermittlung der Caller ID<\/a> aktiviert ist. <\/p>\n Da der Safari vor Anwahl der Telefonnummer nachfragt, die oben genannten Apps aber nicht, haben die App-Entwickler laut Neculaesei die Dokumentation von Apple nicht richtig gelesen und keine Sicherheits\u00fcberpr\u00fcfung vor Ausf\u00fchrung des Aufrufs eingebaut. Oder anderes herum: Man verl\u00e4sst sich darauf, dass Apple in seinen APIs diese \u00dcberpr\u00fcfung vornimmt und den Benutzer um Genehmigung des Anrufs bittet. Das ist definitiv nicht der Fall, so dass jetzt das Kind in den \"Brunnen gefallen ist\". <\/p>\n Und damit schlie\u00dft sich der Kreis zu meinem oben verlinkten Beitrag Uh\u2013Android-Sicherheit: The bad and the ugly \u2026 \u00fcber Sicherheitsl\u00fccken in Android-Apps. Auch dort treten massive Sicherheitsl\u00fccken auf, weil App-Entwickler die Dokumentation offenbar nicht gelesen haben oder sich keine Gedanken um Sicherheit machen. So werden bei SSL-Verbindungen Zertifikate nicht \u00fcberpr\u00fcft und bei Kontrollservern, mit denen die Apps kommunizieren, findet auch keine Pr\u00fcfung auf die G\u00fcltigkeit der Dom\u00e4ne statt.<\/p>\n Kurzum: Selbst wenn das Betriebssystem mal keine Sicherheitsl\u00fccken aufweist, die zahlreichen Hobby-App-Entwickler oder schludrig arbeitende Profis sorgen da, gepaart mit App-Builder-Bauk\u00e4sten schon daf\u00fcr, dass mit der Sicherheit \"den Bach runter geht\". Sch\u00f6nes Wochenende. <\/p>\n","protected":false},"excerpt":{"rendered":" In popul\u00e4ren iOS-Apps gibt es eine Sicherheitsl\u00fccke, die beim iPhone f\u00fcr den Benutzer unangenehme Konsequenzen haben kann. Angreifer k\u00f6nnen, ohne Zutun und Kontrolle des Benutzers, ungewollte Telefonanrufe, auch zu kostenpflichtigen Diensten, ausf\u00fchren und so den iPhone-Besitzer abzocken.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[440,450,426],"tags":[4346,4330,4331,1782],"class_list":["post-155600","post","type-post","status-publish","format-standard","hentry","category-ios","category-iphone","category-sicherheit","tag-app","tag-ios","tag-iphone","tag-sicherheitslucke"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/155600","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=155600"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/155600\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=155600"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=155600"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=155600"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Es ist schon kurios: Vorgestern hatte ich im Beitrag Uh\u2013Android-Sicherheit: The bad and the ugly \u2026 \u00fcber Sicherheitsl\u00fccken in Android-Apps ver\u00f6ffentlicht. Beim Schreiben des Artikels schoss mir noch der Gedanke durch den Kopf \"da werden die iOS-Nutzer aber frohlocken\". Und nun das, auf welches ich gestern gesto\u00dfen bin: Der d\u00e4nische Entwickler Andrei Neculaesei beschreibt hier in seinem Blog<\/a> eine fette Sicherheitsl\u00fccke, die er in iOS-Apps aufgedeckt hat. <\/p>\n
\n