iphone-ticker.de — Alles zum iPhone. Seit 2007. 27 228 Artikel
   

Präparierte Webseiten öffnen iPhone-Apps ohne Nachfrage
Artikel auf Mastodon teilen.
35 Kommentare 35

Der Hinweis des IT-Sicherheitsexperten Nitesh Dhanjani zur suboptimalen iOS-Handhabe bestimmter URL-Protokolle ist ohne Frage relevant und sollte von Apple in einem der nächsten iOS-Update durchaus berücksichtigt werden – ein ernstzunehmendes Sicherheitsproblem sehen wir in den hier beschriebenen Eigenarten des „URL Scheme Index“ jedoch nicht.

Von vorne: Speziell vorbereitete URLs vorausgesetzt, ist das iPhone in der Lage bestimmte Applikationen direkt anzusprechen:

  • tel:1-408-555-5555 öffnet beispielsweise die Telefon-Applikation
  • Ein Klick auf http://maps.google.com/maps?q=cupertino aktiviert Googles Karten-Anwendung
  • Und wer auf mailto:frank@apple.example.com tippt startet die eMail-Applikation des iPhones.

Üblicherweise fragt das iPhone vor dem Start der jeweiligen Anwendung jedoch noch mal nach: Soll der Anruf wirklich abgesetzt werden? Ja – OK, Nein – Abbrechen.

Laut Dhanjani vergessen jedoch gerade Applikationen von Drittherstellern, dem Nutzer die Möglichkeit zu geben, durch URLs aktivierte Arbeitsabläufe zu unterbrechen. Setzt man beispeilsweise den Link skype://14085555555?call auf einer speziell vorbereiteten Webseite in einem iFrame ein, versucht Skype beim Aufruf der Webseite die Nummer zu wählen.

„In this case, Safari throws no warning, and yanks the user into Skype which immediately initiates the call. The security implications of this is obvious, including the additional abuse case where a malicious site can make Skype.app call a Skype-id who can then uncloak the victim’s identity (by analyzing the victim’s Skype-id from the incoming call).“

Auch Heise hat sich dem Thema angenommen und schreibt: Apple erklärte […], dass die Autorisierung für bestimmte Aktivitäten in der Verantwortung der jeweiligen App liege. Es seien also die jeweiligen Entwickler gefordert, eine Autorisierung zum Aufruf einer speziellen URi zu implementieren. Nach Meinung von Dhanjani sei das aber schwer zu verwirklichen, da die Apps ja außerhalb von Safari gestartet würden und somit der entscheidende Punkt der Abfrage zu Erlaubnis bereits überschritten sei. – Danke Thomas
Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
10. Nov 2010 um 16:50 Uhr von Nicolas Fehler gefunden?


    Borlabs Cookie - Testumgebung aktiviert!
    35 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    35 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 27228 Artikel in den vergangenen 6554 Tagen veröffentlicht. Und es werden täglich mehr.     ifun.de — Love it or leave it   ·   Copyright © 2025 aketo GmbH   ·   Impressum   ·   Cookie EinstellungenBorlabs Cookie - Testumgebung aktiviert!   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven