Schwachstelle in Apples WebView
Ohne Nachfrage: Manipulierte Webseiten starten iPhone-Telefonate
Entsprechend vorbereitete Webseite können euer iPhone zum Aufbau eines neuen Telefonates ohne vorherige Rückfrage überreden. Darauf macht der Sicherheitsforscher Collin Mulliner in einem jetzt veröffentlichten Blog-Eintrag aufmerksam.
Neuer Rufaufbau: iOS fragt eigentlich nach
Der Fehler beschränkt sich auf iOS-Applikationen von Drittanbietern, die Apples Browser-Fenster, den sogenannten „WebView“, in ihren Applikationen einsetzen. Ein Standard bei vielen Drittanbieter-Applikationen.
Ist die Anzeige des WebViews nicht richtig implementiert, verzichtet das Browser-Fenster auf die sonst übliche Nachfrage und wählt die Nummer direkt.
Mulliner konnte den Fehler sowohl in der Twitter- als auch in der LinkedIn-Applikation reproduzieren und ruft die Entwickler-Community dazu auf, ihre Anwendungen auf die beschriebene Schwachstelle hin zu überprüfen.
App developers should review their use of WebViews to determine if they are vulnerable to this attack. Vulnerable apps need to be fixed. Service providers like Twitter and LinkedIn can inspect links posted to their sites for containing malicious code and prevent those links from being posted to their service.
Apple should change the default behavior of WebViews to exclude execution of TEL URIs and make it an explicit feature to avoid this kind of issues in the future. I reported this issue to Apple.
Apples Safari-Browser und Googles Chrome-App lassen sich von dem Javascript-Code, den Mulliner zum Wählen der Nummer einsetzt glücklicherweise nicht überreden.
Automatische Anrufe in der LinkedIn-App
Hinweis: Dieses eingebettete Video wird von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA bereitgestellt.
Beim Abspielen wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird YouTube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, kann YouTube Ihr Surfverhalten Ihnen persönlich zuzuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem YouTube-Account ausloggen.
Wird ein YouTube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise über das Nutzerverhalten sammeln.
Wer das Speichern von Cookies für das Google-Ads-Programm deaktiviert hat, wird auch beim Anschauen von YouTube-Videos mit keinen solchen Cookies rechnen müssen. YouTube legt aber auch in anderen Cookies nicht-personenbezogene Nutzungsinformationen ab. Möchten Sie dies verhindern, so müssen Sie das Speichern von Cookies im Browser blockieren.
Weitere Informationen zum Datenschutz bei „YouTube“ finden Sie in der Datenschutzerklärung des Anbieters unter: https://www.google.de/intl/de/policies/privacy/
Automatische Anrufe in der Twitter-App
Hinweis: Dieses eingebettete Video wird von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA bereitgestellt.
Beim Abspielen wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird YouTube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, kann YouTube Ihr Surfverhalten Ihnen persönlich zuzuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem YouTube-Account ausloggen.
Wird ein YouTube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise über das Nutzerverhalten sammeln.
Wer das Speichern von Cookies für das Google-Ads-Programm deaktiviert hat, wird auch beim Anschauen von YouTube-Videos mit keinen solchen Cookies rechnen müssen. YouTube legt aber auch in anderen Cookies nicht-personenbezogene Nutzungsinformationen ab. Möchten Sie dies verhindern, so müssen Sie das Speichern von Cookies im Browser blockieren.
Weitere Informationen zum Datenschutz bei „YouTube“ finden Sie in der Datenschutzerklärung des Anbieters unter: https://www.google.de/intl/de/policies/privacy/
Zeit die 0190er Nummern beim Provider zu sperren :-)
0190er gibt es seit wohl 10 Jahren nicht mehr…
Die Zeit ist laaaang vorbei … seit Jahrzehnten ist 0900 die Vorwahl für „Mehrwertdienste“.
.. und DA wird normal erst eine Ansage geschaltet, dass das Telefonat jetzt was kosten wird.
Natürlich wohl nur bei seriösen Nummen, oder läuft die Ansage noch über den Provider?
Okay, ein Jahrzehnt ist es …
Ach Apple ist ja sooooooo sicher….
„Apples Safari-Browser und Googles Chrome-App lassen sich von dem Javascript-Code, den Mulliner zum Wählen der Nummer einsetzt glücklicherweise nicht überreden.“
Drittanbieteranwendungen!?
…was bist du denn für ein Troll!
Mimimimi
Apple ist sicher, das iPhone ist aber nicht sicher vor schlechten Fremdarbeiter Apps oder einem jailbreak.
Apple sollte entweder eine vernünftige Kontrolle der Apps durchführen, oder seine Schnittstellen so bauen, dass nicht jeder Programmierer einzeln die Sicherheit implementieren muss. Von vorsätzlichem Missbrauch mal ganz abgesehen.
Es ging nicht um ‚Sicherheit implementieren‘, aondern darum, den WebView korrekt (!) zu implementieren. Grosser Unterschied.
Was spricht dagegen, dass Apple diese Sicherheitslücke direkt schließt? Wenn die Sicherheit des iPhones davon abhängig ist, dass die Entwickler die Schnittstellen richtig implementieren, dann ist da was falsch gelaufen. Da könnte Apple ja das ganze Sandbox-System abschaffen und es den Softwareentwicklern überlassen, das richtig zu implementieren.
Aber ich höre jetzt auf. Kritik an Apple wird hier ja nicht gern gesehen.
Mir ist Kritik egal, gibt auch einiges was mich an Apple nervt, aber das ist keine Sicherheitslücke, sondern Programmierfehler. Ich glaube solche Sachen finden sich wie Bugs in einer Beta, sie tauchen auf und evtl. Ändert Apple etwas daran. Es gefährdet weder Daten, noch das iphone, es gefährdet höchstens den Geldbeutel, da das aber beim Surfen passiert, kann man auf abbrechen drücken.
Ja, zum Glück gibt es die Eingangskontrolle in Apples Store.
Selber schuld wenn du ne Wallpaper App verwendest
Der Bub ohne Bachmann ist halt nicht die hellste Kerze auf der Torte und liest nur den Bullshit, den er lesen möchte. Könnte eigentlich ein genetischer Abkomme von Donald Duck Trump sein.
Lies mal den Text
Ist mir passiert. Hab 59sekunden mit Südkorea telefoniert -.-
Durch welche App wurde das provoziert?
Bei welcher App?
Na besser als mit Nordkorea ;-)
Hot Asian wird kaum russische Frauenhäuser anrufen.
schön wäre ein Hinweis, wie man das bemerkt? kann ein Anruf im Hintergrund wählen?
Na, auf dem Bildschirm wird man es schon sehen.
Wenn Du das iPhone in ner Tasche hast, oder nachts unbeaufsichtigt, kriegste natürlich nichts mit davon…
danke
naja, mein iPhone surft nachts nicht von alleine und gerät in so Schwierigkeiten.
Mike, ymmd
Es gibt keine Einstellung, die das unterbindet? Außer vielleicht Flugmodus und dann WLan an?
Wenn du den Flugmodus aktivieren kannst, bist du auch in der Lage auf den
Auflegen
Button zu tippen.