Webseiten können iPhone-Anwendungen ohne Nachfrage starten

Unter Umständen kann etwa eine Webseite eine installierte Skype-App starten und automatisch eine Nummer wählen. Ursache des Problems ist offenbar Apples unterschiedlicher Umgang mit eigenen Apps und denen anderer Hersteller.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 154 Beiträge
Von
  • Daniel Bachfeld

Präparierte Webseiten können in Safari über den Aufruf bestimmter URL-Protokoll-Handler (URL Schemes) iPhone-Apps starten, ohne dass der Anwender um Erlaubnis gefragt wird. So kann beispielsweise nach Angaben des Sicherheitsforschers Nitesh Dhanjani eine Webseite über den IFrame <iframe src=”skype://14085555555?call"></iframe> eine installierte Skype-App starten und automatisch eine Nummer wählen – sofern der Anwender die Skype-Zugangsdaten gespeichert hat. Daneben gibt es weitere Anwendungen, mit denen Angreifer Schindluder treiben könnten. Eine Liste bereits genutzter Protokolle im iPhone ist hier zu finden: URL scheme index.

Laut Dhanjani fragt das iPhone aber offenbar nur bei Protokoll-Handlern nicht nach, die von nachinstallierten Apps anderer Hersteller im iPhone registriert wurden. Sofern eine Webseite eine der standardmäßig im iPhone registrierten URI-Schemes wie tel:1-408-555-5555 für die interne Telefon-App aufrufe, frage Safari respektive iOS in einem Dialog nach, ob der Anwender den Anruf zulassen möchte.

Auf Nachfrage von Dhanjani bei Apple erklärte der Hersteller, dass die Autorisierung für bestimmte Aktivitäten in der Verantwortung der jeweiligen App liege. Es seien also die jeweiligen Entwickler gefordert, eine Autorisierung zum Aufruf einer speziellen URi zu implementieren. Nach Meinung von Dhanjani sei das aber schwer zu verwirklichen, da die Apps ja außerhalb von Safari gestartet würden und somit der entscheidende Punkt der Abfrage zu Erlaubnis bereits überschritten sei. Dhanjani fordert daher eine Möglichkeit, bei der Registrierung eines URL-Protokoll-Handlers anzugeben, ob Safari einen Erlaubnisdialog öffnet. Zudem müsse Apple bei der Sicherheitsprüfung von Apps künftig mehr auf das Missbrauchpotenzial achten. (dab)