iOS 10: Fehler in WebView gibt Hackern Kontrolle über Telefon-App

Nutzer müssen nur auf einen speziellen Link klicken. Unter anderem sind die Apps von Twitter und LinkedIn anfällig für den Angriff. Ein Trick erlaubt es zudem, den Zugriff auf die Telefon-App kurzfristig zu sperren. Ein Nutzer kann somit den Anruf nicht abbrechen.

Der Sicherheitsforscher Collin Mulliner hat eine Zero-Day-Lücke in iOS 10 entdeckt. Sie erlaubt, aus bestimmten Apps heraus Telefonanrufe zu tätigen, ohne dass der Nutzer das Wählen der Telefonnummer unterbrechen kann. Der Fehler steckt in der für das Anzeigen von Websites benutzten Komponente WebView. Eine ähnliche Schwachstelle hatte Mulliner schon 2008 an Apple gemeldet.

iOS 10 (Bild: Apple)Aufmerksam auf den Fehler wurde Mulliner nach eigenen Angaben durch einen Bericht über einen jungen Mann, der für einen DoS-Angriff auf die Notrufnummer „911“ verantwortlich gemacht wird. Er erstellte eine Website, die automatisch den Notruf wählte, sobald sie mit einem iPhone aufgerufen wurde. Auf seine Website verlinkte er unter anderem per Twitter.

Daraufhin habe er sich die Twitter-App für iOS genauer angeschaut und in kürzester Zeit einen einfachen automatischen Dialer entwickelt. „Ich war glücklich und zugleich am Boden zerstört, weil das so einfach war“, schreibt Mulliner in seinem Blog. Den Fehler habe er schließlich über das Prämienprogramm von HackerOne an Twitter gemeldet. Twitter habe seinen Fehlerbericht jedoch nach wenigen Tagen mit dem Hinweis, es sei ein Duplikat, geschlossen.

„Auch wenn es vielleicht nur ein Duplikat ist, glaube ich, sie sollten nett und denjenigen dankbar sein, die in ihre Freizeit Fehler finden und melden“, ergänzte Mulliner. „Deswegen habe ich mich entschlossen, alle Details zu der Schwachstelle heute offenzulegen.“

Eine weitergehende Analyse habe ergeben, dass der Fehler nicht in der Twitter-App steckt, sondern alle Anwendungen betroffen sind, die WebView benutzen, um Inhalte anzuzeigen. Anfällig seien Apps, die Links in einem WebView-Fenster innerhalb der App öffneten. Zeige eine App Links jedoch in Safari oder Chrome an, trete das Problem nicht auf.

Seinen bereits 2008 entwickelten Proof of Concept – damals steckte die Lücke in Safari für iOS – passte Mulliner daraufhin so an, dass er auch mit der LinkedIn-App funktionierte. Er erlaubt es nicht nur, die Telefon-App zu starten und eine beliebige Telefonnummer zu wählen, sondern auch die Benutzeroberfläche von iOS so zu manipulieren, dass ein Nutzer den Anruf nicht abbrechen kann. Dazu startet Mulliner eine weitere App, beispielsweise die SMS-App, die dann im Vordergrund erscheint und den Zugriff auf die Telefon-App vorübergehend verhindert.

Seinen Proof of Concept zeigt Mulliner auch in einem Video. „Sie können klar erkennen, dass die Oberfläche für einen kurzen Moment nicht reagiert. Die Zeit ist ausreichend, damit jemand am anderen Ende abheben kann (vor allem Service-Hotlines nehmen automatisch ab)“, so Mulliner weiter.

„Wenn Sie glauben, dass das Wählen einer Telefonnummer nach dem Anklicken eines Links in einer App keine große Sache ist, dann sollten Sie nochmal genau nachdenken. DoS-Angriffe auf Notrufe sind sehr schlimm. Es gibt aber auch andere Beispiele wie teure 0900-Nummern, mit denen Angreifer Geld machen können. Ein Stalker kann ein Opfer dazu bringen, seine Nummer anzurufen, wodurch er an die Nummer seines Opfers kommt“, heißt es in dem Blogeintrag.

App-Entwicklern rät der Forscher, ihre WebView-Implementierung zu kontrollieren, um herauszufinden, ob sie anfällig sind. Anbieter wie Twitter und LinkedIn seien zudem in der Lage, Links vor der Veröffentlichung auf schädlichen Code zu prüfen und somit deren Veröffentlichung zu verhindern. Apple solle außerdem die Ausführung von „TEL URIs“ in WebView unterbinden beziehungsweise generell nur nach einer Bestätigung durch den Nutzer zulassen.

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Browser, LinkedIn, Security, Sicherheit, Smartphone, Twitter, iOS, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu iOS 10: Fehler in WebView gibt Hackern Kontrolle über Telefon-App

Kommentar hinzufügen
  • Am 15. November 2016 um 12:00 von C

    Mal wieder ein sehr schöner Beweis, dass KEIN OS wirklich vor Fehlern und Zero Day´s geschützt ist.

    Egal was die Marketing-Abteilung oder ganz überzeugte Fans hier berichten. Kein OS ist „besser“ oder „sicherer“. Alle kommerzielle, US-basierte OS haben ihre (gewollten) Einfallstore…

    Das gleiche gilt auch für Browser. Auf dem PwnFest in Süd-Korea wurden die reihenweise gehakt. Keiner hat wirklich Stand gehalten. Edge wurde sogar – trotz Patches – in 18 Sek. gehakt. So viel zum Thema „Sicherheit“ beim neuen MS-Browser und bei Win-10…

    Anstatt sich auf Sicherheit und SW-Qualität zu konzentrieren wird eine unfertige OS Version nach der anderen schnell rausgehauen. Time to Market muss halt kurz sein. Kann ja beim Kunden „reifen“ – der dafür i. d. R. auch noch Geld bezahlt hat (direkt oder indirekt mit dem Kauf der HW). Meine Vermutung ist, dass man gar nicht ein „sicheres OS“ wirklich will. Es verbleibt daher nur die OSS-Community, die ein besser abgesichertes System entwickeln kann (z. B. Qubes). MS hatte mal den Anspruch mit Singularity, der wurde aber durch die Politik schnell beendet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *