Sicherheitsrisiko: iOS-Apps können ungefragt teure Telefonate einleiten

Auch wenn ihr nicht wisst, was Apples „URL-Schemata“ sind, in der Praxis hattet ihr höchstwahrscheinlich schon damit zu tun. Nehmt beispielsweise die Telefonnummer auf einer Webseite, die ihr antippen und damit einen Anruf auslösen könnt. Safari auf dem iPhone bittet hier vorsichtshalber um eure Zustimmung, bevor der Anruf ausgeführt wird – dies ist leider jedoch nicht bei allen Apps der Fall.

Laut neuesten Erkenntnissen ist es möglich, das sogenannte „URL-Schema tel“ in unzähligen Apps, darunter der Facebook Messenger, Gmail und Google+ zu aktivieren, ohne dass eine Bestätigung durch den Nutzer erforderlich ist. In der Folge könnte könnte eine manipulierte Nachricht oder E-Mail den Anruf bei einer kostenpflichtigen Telefonnummer auslösen, und dies nicht nur ohne zusätzliche Abfrage, sondern auch ohne euer Zutun. Wie der dänische Entwickler Andrei Neculaesei herausgefunden hat, kann man den Telefonlink auch so programmieren, dass er sich beim Empfang bzw. Aufruf der Nachricht selbst aktiviert.

A lot of people make fake assumptions such as links are only clicked by users. Using some sneaky-beaky-like javascript I quickly made the link click itself.

Verantwortlich für den Fehler sind laut Neculaesei die Entwickler der Apps. Apple gibt diesen ausdrücklich die Freiheit, eigene Hinweismeldungen für den Aufruf von Telefonnummern zu integrieren. Dies wird offenbar jedoch von vielen Entwicklern übersehen und in der Folge fehlt die Benachrichtigung komplett. Abhilfe können nun Updates für die betroffenen Apps schaffen, alternativ könnte Apple auch einen Standardhinweis zwingend vorschreiben anstatt auf das eigenverantwortliche Handeln der Entwickler zu vertrauen. (via PC World)