iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Schwachstelle in Apples WebView

Ohne Nachfrage: Manipulierte Webseiten starten iPhone-Telefonate

Artikel auf Mastodon teilen.
31 Kommentare 31

Entsprechend vorbereitete Webseite können euer iPhone zum Aufbau eines neuen Telefonates ohne vorherige Rückfrage überreden. Darauf macht der Sicherheitsforscher Collin Mulliner in einem jetzt veröffentlichten Blog-Eintrag aufmerksam.

Anruf 500

Neuer Rufaufbau: iOS fragt eigentlich nach

Der Fehler beschränkt sich auf iOS-Applikationen von Drittanbietern, die Apples Browser-Fenster, den sogenannten „WebView“, in ihren Applikationen einsetzen. Ein Standard bei vielen Drittanbieter-Applikationen.

Ist die Anzeige des WebViews nicht richtig implementiert, verzichtet das Browser-Fenster auf die sonst übliche Nachfrage und wählt die Nummer direkt.

Mulliner konnte den Fehler sowohl in der Twitter- als auch in der LinkedIn-Applikation reproduzieren und ruft die Entwickler-Community dazu auf, ihre Anwendungen auf die beschriebene Schwachstelle hin zu überprüfen.

App developers should review their use of WebViews to determine if they are vulnerable to this attack. Vulnerable apps need to be fixed. Service providers like Twitter and LinkedIn can inspect links posted to their sites for containing malicious code and prevent those links from being posted to their service.

Apple should change the default behavior of WebViews to exclude execution of TEL URIs and make it an explicit feature to avoid this kind of issues in the future. I reported this issue to Apple.

Apples Safari-Browser und Googles Chrome-App lassen sich von dem Javascript-Code, den Mulliner zum Wählen der Nummer einsetzt glücklicherweise nicht überreden.

Automatische Anrufe in der LinkedIn-App

Automatische Anrufe in der Twitter-App

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
09. Nov 2016 um 19:04 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    31 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • TurnerOverdrive
  • Ist mir passiert. Hab 59sekunden mit Südkorea telefoniert -.-

  • schön wäre ein Hinweis, wie man das bemerkt? kann ein Anruf im Hintergrund wählen?

  • Es gibt keine Einstellung, die das unterbindet? Außer vielleicht Flugmodus und dann WLan an?

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven