Categories: MobileMobile OS

iOS 10: Fehler in WebView gibt Hackern Kontrolle über Telefon-App

Der Sicherheitsforscher Collin Mulliner hat eine Zero-Day-Lücke in iOS 10 entdeckt. Sie erlaubt, aus bestimmten Apps heraus Telefonanrufe zu tätigen, ohne dass der Nutzer das Wählen der Telefonnummer unterbrechen kann. Der Fehler steckt in der für das Anzeigen von Websites benutzten Komponente WebView. Eine ähnliche Schwachstelle hatte Mulliner schon 2008 an Apple gemeldet.

Aufmerksam auf den Fehler wurde Mulliner nach eigenen Angaben durch einen Bericht über einen jungen Mann, der für einen DoS-Angriff auf die Notrufnummer „911“ verantwortlich gemacht wird. Er erstellte eine Website, die automatisch den Notruf wählte, sobald sie mit einem iPhone aufgerufen wurde. Auf seine Website verlinkte er unter anderem per Twitter.

Daraufhin habe er sich die Twitter-App für iOS genauer angeschaut und in kürzester Zeit einen einfachen automatischen Dialer entwickelt. „Ich war glücklich und zugleich am Boden zerstört, weil das so einfach war“, schreibt Mulliner in seinem Blog. Den Fehler habe er schließlich über das Prämienprogramm von HackerOne an Twitter gemeldet. Twitter habe seinen Fehlerbericht jedoch nach wenigen Tagen mit dem Hinweis, es sei ein Duplikat, geschlossen.

„Auch wenn es vielleicht nur ein Duplikat ist, glaube ich, sie sollten nett und denjenigen dankbar sein, die in ihre Freizeit Fehler finden und melden“, ergänzte Mulliner. „Deswegen habe ich mich entschlossen, alle Details zu der Schwachstelle heute offenzulegen.“

Eine weitergehende Analyse habe ergeben, dass der Fehler nicht in der Twitter-App steckt, sondern alle Anwendungen betroffen sind, die WebView benutzen, um Inhalte anzuzeigen. Anfällig seien Apps, die Links in einem WebView-Fenster innerhalb der App öffneten. Zeige eine App Links jedoch in Safari oder Chrome an, trete das Problem nicht auf.

Seinen bereits 2008 entwickelten Proof of Concept – damals steckte die Lücke in Safari für iOS – passte Mulliner daraufhin so an, dass er auch mit der LinkedIn-App funktionierte. Er erlaubt es nicht nur, die Telefon-App zu starten und eine beliebige Telefonnummer zu wählen, sondern auch die Benutzeroberfläche von iOS so zu manipulieren, dass ein Nutzer den Anruf nicht abbrechen kann. Dazu startet Mulliner eine weitere App, beispielsweise die SMS-App, die dann im Vordergrund erscheint und den Zugriff auf die Telefon-App vorübergehend verhindert.

Seinen Proof of Concept zeigt Mulliner auch in einem Video. „Sie können klar erkennen, dass die Oberfläche für einen kurzen Moment nicht reagiert. Die Zeit ist ausreichend, damit jemand am anderen Ende abheben kann (vor allem Service-Hotlines nehmen automatisch ab)“, so Mulliner weiter.

„Wenn Sie glauben, dass das Wählen einer Telefonnummer nach dem Anklicken eines Links in einer App keine große Sache ist, dann sollten Sie nochmal genau nachdenken. DoS-Angriffe auf Notrufe sind sehr schlimm. Es gibt aber auch andere Beispiele wie teure 0900-Nummern, mit denen Angreifer Geld machen können. Ein Stalker kann ein Opfer dazu bringen, seine Nummer anzurufen, wodurch er an die Nummer seines Opfers kommt“, heißt es in dem Blogeintrag.

App-Entwicklern rät der Forscher, ihre WebView-Implementierung zu kontrollieren, um herauszufinden, ob sie anfällig sind. Anbieter wie Twitter und LinkedIn seien zudem in der Lage, Links vor der Veröffentlichung auf schädlichen Code zu prüfen und somit deren Veröffentlichung zu verhindern. Apple solle außerdem die Ausführung von „TEL URIs“ in WebView unterbinden beziehungsweise generell nur nach einer Bestätigung durch den Nutzer zulassen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago