iOS 10: Fehler in WebView gibt Hackern Kontrolle über Telefon-App

Der Sicherheitsforscher Collin Mulliner hat eine Zero-Day-Lücke in iOS 10 entdeckt. Sie erlaubt, aus bestimmten Apps heraus Telefonanrufe zu tätigen, ohne dass der Nutzer das Wählen der Telefonnummer unterbrechen kann. Der Fehler steckt in der für das Anzeigen von Websites benutzten Komponente WebView. Eine ähnliche Schwachstelle hatte Mulliner schon 2008 an Apple gemeldet.

Aufmerksam auf den Fehler wurde Mulliner nach eigenen Angaben durch einen Bericht über einen jungen Mann, der für einen DoS-Angriff auf die Notrufnummer „911“ verantwortlich gemacht wird. Er erstellte eine Website, die automatisch den Notruf wählte, sobald sie mit einem iPhone aufgerufen wurde. Auf seine Website verlinkte er unter anderem per Twitter.

Daraufhin habe er sich die Twitter-App für iOS genauer angeschaut und in kürzester Zeit einen einfachen automatischen Dialer entwickelt. „Ich war glücklich und zugleich am Boden zerstört, weil das so einfach war“, schreibt Mulliner in seinem Blog. Den Fehler habe er schließlich über das Prämienprogramm von HackerOne an Twitter gemeldet. Twitter habe seinen Fehlerbericht jedoch nach wenigen Tagen mit dem Hinweis, es sei ein Duplikat, geschlossen.

„Auch wenn es vielleicht nur ein Duplikat ist, glaube ich, sie sollten nett und denjenigen dankbar sein, die in ihre Freizeit Fehler finden und melden“, ergänzte Mulliner. „Deswegen habe ich mich entschlossen, alle Details zu der Schwachstelle heute offenzulegen.“

Eine weitergehende Analyse habe ergeben, dass der Fehler nicht in der Twitter-App steckt, sondern alle Anwendungen betroffen sind, die WebView benutzen, um Inhalte anzuzeigen. Anfällig seien Apps, die Links in einem WebView-Fenster innerhalb der App öffneten. Zeige eine App Links jedoch in Safari oder Chrome an, trete das Problem nicht auf.

Seinen bereits 2008 entwickelten Proof of Concept – damals steckte die Lücke in Safari für iOS – passte Mulliner daraufhin so an, dass er auch mit der LinkedIn-App funktionierte. Er erlaubt es nicht nur, die Telefon-App zu starten und eine beliebige Telefonnummer zu wählen, sondern auch die Benutzeroberfläche von iOS so zu manipulieren, dass ein Nutzer den Anruf nicht abbrechen kann. Dazu startet Mulliner eine weitere App, beispielsweise die SMS-App, die dann im Vordergrund erscheint und den Zugriff auf die Telefon-App vorübergehend verhindert.

Seinen Proof of Concept zeigt Mulliner auch in einem Video. „Sie können klar erkennen, dass die Oberfläche für einen kurzen Moment nicht reagiert. Die Zeit ist ausreichend, damit jemand am anderen Ende abheben kann (vor allem Service-Hotlines nehmen automatisch ab)“, so Mulliner weiter.

„Wenn Sie glauben, dass das Wählen einer Telefonnummer nach dem Anklicken eines Links in einer App keine große Sache ist, dann sollten Sie nochmal genau nachdenken. DoS-Angriffe auf Notrufe sind sehr schlimm. Es gibt aber auch andere Beispiele wie teure 0900-Nummern, mit denen Angreifer Geld machen können. Ein Stalker kann ein Opfer dazu bringen, seine Nummer anzurufen, wodurch er an die Nummer seines Opfers kommt“, heißt es in dem Blogeintrag.

App-Entwicklern rät der Forscher, ihre WebView-Implementierung zu kontrollieren, um herauszufinden, ob sie anfällig sind. Anbieter wie Twitter und LinkedIn seien zudem in der Lage, Links vor der Veröffentlichung auf schädlichen Code zu prüfen und somit deren Veröffentlichung zu verhindern. Apple solle außerdem die Ausführung von „TEL URIs“ in WebView unterbinden beziehungsweise generell nur nach einer Bestätigung durch den Nutzer zulassen.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.