Präparierte Webseiten öffnen iPhone-Apps ohne Nachfrage
Der Hinweis des IT-Sicherheitsexperten Nitesh Dhanjani zur suboptimalen iOS-Handhabe bestimmter URL-Protokolle ist ohne Frage relevant und sollte von Apple in einem der nächsten iOS-Update durchaus berücksichtigt werden – ein ernstzunehmendes Sicherheitsproblem sehen wir in den hier beschriebenen Eigenarten des „URL Scheme Index“ jedoch nicht.
Von vorne: Speziell vorbereitete URLs vorausgesetzt, ist das iPhone in der Lage bestimmte Applikationen direkt anzusprechen:
- tel:1-408-555-5555 öffnet beispielsweise die Telefon-Applikation
- Ein Klick auf http://maps.google.com/maps?q=cupertino aktiviert Googles Karten-Anwendung
- Und wer auf mailto:frank@apple.example.com tippt startet die eMail-Applikation des iPhones.
Üblicherweise fragt das iPhone vor dem Start der jeweiligen Anwendung jedoch noch mal nach: Soll der Anruf wirklich abgesetzt werden? Ja – OK, Nein – Abbrechen.
Laut Dhanjani vergessen jedoch gerade Applikationen von Drittherstellern, dem Nutzer die Möglichkeit zu geben, durch URLs aktivierte Arbeitsabläufe zu unterbrechen. Setzt man beispeilsweise den Link skype://14085555555?call auf einer speziell vorbereiteten Webseite in einem iFrame ein, versucht Skype beim Aufruf der Webseite die Nummer zu wählen.
„In this case, Safari throws no warning, and yanks the user into Skype which immediately initiates the call. The security implications of this is obvious, including the additional abuse case where a malicious site can make Skype.app call a Skype-id who can then uncloak the victim’s identity (by analyzing the victim’s Skype-id from the incoming call).“
Auch Heise hat sich dem Thema angenommen und schreibt: Apple erklärte […], dass die Autorisierung für bestimmte Aktivitäten in der Verantwortung der jeweiligen App liege. Es seien also die jeweiligen Entwickler gefordert, eine Autorisierung zum Aufruf einer speziellen URi zu implementieren. Nach Meinung von Dhanjani sei das aber schwer zu verwirklichen, da die Apps ja außerhalb von Safari gestartet würden und somit der entscheidende Punkt der Abfrage zu Erlaubnis bereits überschritten sei. – Danke Thomas
Und was sagt uns das?
Dein Frage sagt uns eines: du bist nicht der hellste !
@bmxatwork: Nana, ließ bitte eben den Kommentar von „Gerdi“ in der Notification von vorhin, die sich unter anderem mit dem Update von „Liga total!“ und „iFun“ befasst (zum besseren Verständnis bitte erst den „Liga total!“-Teil und danach seinen Kommentar!) – ich finde seinen Beitrag in dem Zusammenhang ziemlich genial :D
Das sagt uns, dass Frank@apple.example heute viele E-Mails bekommt….
lol
Frag ich mich auch gerade
Immer diese blöden Kommentare. „Und was sagt uns das?“. Es ist einfach eine Information. Oder ruft ihr bei der Tagesschau an und fragt was ihr mit den börsennachrichten sollt.
Danke ifun. Finde euch einfach nur Klasse, auch wenn themen vorkommen die mich nicht unbedingt interessieren.
Habe euch heute 5 Sterne gegeben;-)
Weiter so…
tel:1-408-555-5555 öffnet bei mir nichts!!!!! Kommt Fehlermeldung in Safari !!!!
Genau lesen: „Von vorne: Speziell vorbereitete URLs vorausgesetzt,…“
Stimmt, manchmal sind dieKommentare da einfach nur peinlich !!
Danke auch dem Team auf diesem Wege für die absolut gelungene Info app. Bin mehrmals tägl bei euch und natürlich immer top informiert.
Vielen Dank und weiter so
YouTube-App habt ihr vergessen
sms:123456… bzw. smsto:123456… und Mut angehängtem GET-Parameter, z.B. ?body=Hallo öffnet eine SMS mit dem Inhalt „Hallo“ und den vorgewählten Nummer 123456… Man braucht nur auf Senden klicken, aber das ist ein alter Hut!
Also bei dem tel: Befehl passier bei mir nichts. Die Mailto Funktion sehe ich nicht als gefährlich an, geht ja schließlich auch bei jedem PC so. Und das mit der Karte hinterlässt nun auch keine Angst bei mir :)
Man muss das Ganze schon wie eine URL schreiben, also tel://123456789
Dann passiert auch was.
Wenn ich eine Nummer tippe und dann auf den grünen Hörer tatsche, fängt mein iPhone das tuten an… muss ich mir Sorgen machen?
Unlängst konnte ich mit einem unbedachten Tastendruck sogar eine Art Momentaufnahme meiner Umwelt erstellen… mein iPhone wird mir unheimlich.
Was sagt uns das? Gamecenter-Nick „Vollpfosten“, bidde ädäd mich…
naja, das könnte schon gefährlich werden.
szenario: ein script schafft es zusätzlich die „telefon-app“ (oder scype-app, das ist wohl realistischer) in den hintergrund zu multi-tasken. dann ist schnell dein guthaben vertelefoniert, ohne das du es merkst. hab noch nie sone nummer per skype angerufen, aber wenn man damit auch sehr teure nummern (wie sex-lines oder so) erreichen kann, könnte die betreiber fies absahnen.
hab auch keine angst. aber das als ungefährlich abzutun, herr experte…
Wo steht ungefährlich?
Für die lieben Kleinen ist natürlich ein Hinweis nie verkehrt, nicht auf alles zu klicken, was blink-blink macht, da geb ich dir sogar recht!
Dazu müsste jenes script das iPhone gleich noch jailbreaken und etwas preisklasse dem backrounder installieren, denn das Multitasking des iOS 4.x kann so etwas meines Wissens nicht.
(Wird das hier jetzt also zum hoax oder was? ;) )
Ansonsten gilt:
Eigenverantwortlich handeln bis Apple endlich eine etwas bessere Lösung präsentiert.
Wobei bei sowas immer ein gewisses Maß an Eigenverantwortung nötig sein wird (übrigens plattformunabhängig).
Mit dem fgBrowser passiert das nicht.
Und wenn’s mal doch erwünscht ist kann man mit einer Geste 2 Finger parallel nach unten dies triggern.
Und obendrein tolles Vollbild browsen und shnelle Gesten….
*cokt* Angst ? … Wir sind Männer und keine Memmen! Meine Güte … es gibt Dinge im Leben, die einem Angst machen könnten, wenn man bedenke Dummheit würde weh tun … da würde die ganze Menschheit in Schmerzen liegen *tsts
*bier*
So so… Alle anderen sind dof auser isch.
Wäre es rein technisch nicht auch möglich somit einen automatisierten Klick auf ein werbebanner auszulösen?
Ifun hat ja mal über die abzocke mit Werbebannern berichtet. ( Habe den Link gerade nicht da)
Das wäre sonst ein schönes Modell zur Abzocke!
Ich habe Angst
Liege auch seit drei Stunden in Embryohaltung vor meinem iPhone…
you made my day! :-)
:D :D :D :D
Also manchmal sind die Kommentare echt lesenswert, und zwar dann wenn Expertenmeinung seinen Senf abgiebt, absolut Geil!
Nein, nicht ganz richtig. Das man bestimmte Apps über die URL-Öffnen kann ist eine Grundfunktion von MacOSX und iOS. Wenn man beim Mac Steam oder Skype installiert hat kann man skype mit der url skype: öffnen und dann befehle zuweißen. Ebenfalls geht dies auch mit Steam, das hat man zb. bei der Beta benötigt.
Ich verstehe das ganze Problem nicht! Die Sache mit den URL-Schemes ist eine wesentliche Erleichterung, um z.B. Links zu Dokumenten in Notizen ablegen zu können, die dann automatisch mit der richtigen App geöffnet werden. Mit deren Hilfe werden z.B. auch mms://-Streams direkt im VLC-Player geöffnet.
Das Ganze funktioniert nur, wenn man zuvor selbst die entsprechende Ziel-App installiert hat. Wenn diese dann Blödsinn macht, ohne den Benutzer ggf. zuvor um Erlaubnis zu fragen, dann kann man diese immer noch entfernen bzw. ist selbst daran schuld! Eine generelle Abfrage nervt hingegen wieder bei 99% der sinnvollen Anwendungen und letztlich ist man auch irgendwie selbst dafür verantwortlich, was man installiert und worauf man klickt!
Hier mal der ZDF-Livestream als Beispiel für eine sinnvolle Anwendung, bei der mich eine Abfrage nerven würde: mms://live.msmedia.zdf.newmedia.nacamar.net/zdf/zdf_vh_16zu9.wmv
@ifun: Bitte :D
Bei iOS: Ist doch egal!
Bei Android: Hahaha EPIC fail pwned loool
So gehts hier zu in den Kommentaren..
Du bist der erste Post der hier was zum Thema Android sagt. Womit wir zu meinem Post kommen, was ist der Sinn deines Posts?
Komischer Weise sind die die sowas nicht ernst nehmen auch die, die hinterher am lautesten jammern !!!
Schmunzel
BOFH ???? Noe, aber einer der nicht mehr alles 10 mal vorbetet!
Man braucht auch so seine schmunzel tage.
DANK an IFun !!! Chapeau !!!
Muss auch mal geschrieben sein, wo ich ueber einige Kommentare hier so mecker
Ich finds jetzt nicht so schlimm. Oh, ein Elch will meine Kreditkartennummer. Das klingt fair!