Categories: MobileMobile OS

iOS 10: Fehler in WebView gibt Hackern Kontrolle über Telefon-App

Der Sicherheitsforscher Collin Mulliner hat eine Zero-Day-Lücke in iOS 10 entdeckt. Sie erlaubt, aus bestimmten Apps heraus Telefonanrufe zu tätigen, ohne dass der Nutzer das Wählen der Telefonnummer unterbrechen kann. Der Fehler steckt in der für das Anzeigen von Websites benutzten Komponente WebView. Eine ähnliche Schwachstelle hatte Mulliner schon 2008 an Apple gemeldet.

Aufmerksam auf den Fehler wurde Mulliner nach eigenen Angaben durch einen Bericht über einen jungen Mann, der für einen DoS-Angriff auf die Notrufnummer „911“ verantwortlich gemacht wird. Er erstellte eine Website, die automatisch den Notruf wählte, sobald sie mit einem iPhone aufgerufen wurde. Auf seine Website verlinkte er unter anderem per Twitter.

Daraufhin habe er sich die Twitter-App für iOS genauer angeschaut und in kürzester Zeit einen einfachen automatischen Dialer entwickelt. „Ich war glücklich und zugleich am Boden zerstört, weil das so einfach war“, schreibt Mulliner in seinem Blog. Den Fehler habe er schließlich über das Prämienprogramm von HackerOne an Twitter gemeldet. Twitter habe seinen Fehlerbericht jedoch nach wenigen Tagen mit dem Hinweis, es sei ein Duplikat, geschlossen.

„Auch wenn es vielleicht nur ein Duplikat ist, glaube ich, sie sollten nett und denjenigen dankbar sein, die in ihre Freizeit Fehler finden und melden“, ergänzte Mulliner. „Deswegen habe ich mich entschlossen, alle Details zu der Schwachstelle heute offenzulegen.“

Eine weitergehende Analyse habe ergeben, dass der Fehler nicht in der Twitter-App steckt, sondern alle Anwendungen betroffen sind, die WebView benutzen, um Inhalte anzuzeigen. Anfällig seien Apps, die Links in einem WebView-Fenster innerhalb der App öffneten. Zeige eine App Links jedoch in Safari oder Chrome an, trete das Problem nicht auf.

Seinen bereits 2008 entwickelten Proof of Concept – damals steckte die Lücke in Safari für iOS – passte Mulliner daraufhin so an, dass er auch mit der LinkedIn-App funktionierte. Er erlaubt es nicht nur, die Telefon-App zu starten und eine beliebige Telefonnummer zu wählen, sondern auch die Benutzeroberfläche von iOS so zu manipulieren, dass ein Nutzer den Anruf nicht abbrechen kann. Dazu startet Mulliner eine weitere App, beispielsweise die SMS-App, die dann im Vordergrund erscheint und den Zugriff auf die Telefon-App vorübergehend verhindert.

Seinen Proof of Concept zeigt Mulliner auch in einem Video. „Sie können klar erkennen, dass die Oberfläche für einen kurzen Moment nicht reagiert. Die Zeit ist ausreichend, damit jemand am anderen Ende abheben kann (vor allem Service-Hotlines nehmen automatisch ab)“, so Mulliner weiter.

„Wenn Sie glauben, dass das Wählen einer Telefonnummer nach dem Anklicken eines Links in einer App keine große Sache ist, dann sollten Sie nochmal genau nachdenken. DoS-Angriffe auf Notrufe sind sehr schlimm. Es gibt aber auch andere Beispiele wie teure 0900-Nummern, mit denen Angreifer Geld machen können. Ein Stalker kann ein Opfer dazu bringen, seine Nummer anzurufen, wodurch er an die Nummer seines Opfers kommt“, heißt es in dem Blogeintrag.

App-Entwicklern rät der Forscher, ihre WebView-Implementierung zu kontrollieren, um herauszufinden, ob sie anfällig sind. Anbieter wie Twitter und LinkedIn seien zudem in der Lage, Links vor der Veröffentlichung auf schädlichen Code zu prüfen und somit deren Veröffentlichung zu verhindern. Apple solle außerdem die Ausführung von „TEL URIs“ in WebView unterbinden beziehungsweise generell nur nach einer Bestätigung durch den Nutzer zulassen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Stunde ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

5 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

6 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

6 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

7 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

9 Stunden ago