iOS-Apps für URL-Scheme-Highjacking anfällig

Mit der Technik sollen verschiedene Apps eigentlich sicher kommunizieren können. Schlimmstenfalls droht eine Übernahme von Accounts.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
iOS-Apps für URL-Scheme-Highjacking anfällig

(Bild: Trend Micro)

Lesezeit: 2 Min.
Inhaltsverzeichnis

Sicherheitsexperten von Trend Micro warnen vor Angriffsmöglichkeiten auf iOS-Apps. Dabei geht es um sogenannte URL Schemes. Diese sollen eigentlich dazu dienen, dass Anwendungen Sandbox-geschützt miteinander interagieren können – so kann man etwa mittels "facetime://" einen Anruf mit Apples Videochat-Software starten.

Hersteller verschiedener populärer Programme setzen URL Schemes allerdings zu unsicher ein, so die Trend-Micro-Experten in ihrer Untersuchung. Sie sehen hier Hijack-Möglichkeiten durch bösartige Programme.

Zu den betroffenen Apps soll unter anderem die populäre Kommunikationsplattform WeChat gehören, die in China für zahllose Anwendungsmöglichkeiten verwendet wird – vom reinen Chat mit Freunden über das Bezahlen in Geschäften bis hin zur Vereinbarung von Arztterminen. Das Problem sei, dass URL Schemes von mehreren Apps gleichzeitig verwendet werden können. Zwar hat dies Apple mit iOS 11 verbessert – seither lässt sich nur noch die letzte App aufrufen. Allerdings gibt es nach wie vor Ausnutzungsmöglichkeiten, so Trend Micro. In einem Beispiel demonstrieren die Sicherheitsforscher, wie es möglich ist, einen WeChat-Login-Token zu stehlen.

Dazu nutzen sie Erkenntnisse aus der in Asien beliebten Retail-App Suning, die den Login in WeChat über eine URL-Scheme-Abfrage realisiert. Dabei wird stets eine eindeutige Syntax verwendet und WeChat selbst authentifiziert die Herkunft der Login-Abfrage nicht. So könnte ein Entwickler eine App schreiben, die so tut, als sei sie Suning und dabei dann den Login-Token von WeChat abgreifen. Dazu muss der Nutzer allerdings dazu gebracht werden, die Angreifer-App zu installieren und zu verwenden – oder der böse Code muss in einem vorhandenen "guten" Programm stecken, ohne dass das Apples App-Review-Abteilung merkt.

Trend Micro sieht noch weitere Probleme im Zusammenhang mit URL Schemes. So haben die Sicherheitsforscher eine Methode gefunden, mit der es möglich sein soll, Nutzer dazu zu bringen, falsche WeChat-Rechnungen zu begleichen. Auch hier wird der User in die WeChat-App umgeleitet. Es ist unklar, wie akut das Problem auch in anderen Apps ist. Das Problem wurde an die betroffenen Hersteller gemeldet – dazu gehört auch der Bezahldienst Alipay. Apple selbst hat Entwickler über die Problematik informiert – sie sollten die entsprechenden Tipps auch umsetzen.

(bsc)