App-Schwachstelle: Angreifer können iPhone-Anrufe auslösen
Ein Fehler in populären iOS-Apps ermöglicht es, das iPhone zum automatischen Anwählen einer bestimmten Rufnummer zu bringen und den Nutzer zugleich am sofortigen Abbruch des Telefonats zu hindern.
- Leo Becker
Der Besuch einer manipulierten Webseite kann automatisch iPhone-Anrufe einleiten: Möglich ist dies durch eine Schwachstelle in Apples WebView, die viele populäre Apps zur Darstellung von Web-Inhalten integriert haben, darunter Twitter und LinkedIn, wie der Sicherheitsforscher Collin Mulliner ausführt. Folgen Nutzer in einer dieser Apps einem Link zu einer manipulierten Seite, kann diese den Anruf einer vom Angreifer festgelegten Nummer ohne den sonst üblichen Bestätigungsdialog auslösen.
Mit einem zusätzlichen Trick ist es außerdem möglich, den sofortigen Abbruch des unerwünschten Telefonats zu unterbinden, erklärt Mulliner. Dafür müsse man iOS nur zum gleichzeitigen Öffnen einer anderen App auffordern – dies lege die Bedienoberfläche für kurze Zeit lahm und verhindere Eingaben.
Schwachstelle nur in bestimmten Apps
Der Bug betrifft ausschließlich iOS-Apps, die WebView verwenden – mit Apples neuerem “Safari View Controller” tritt das Problem offenbar nicht auf. Auch wenn die URL an Safari oder Chrome weitergeleitet wird, erfolgt kein automatischer Anruf.
Mulliner hatte die Schwachstelle ursprünglich 2008 entdeckt und an Apple gemeldet, der Fehler wurde mit iOS 3.0 beseitigt – lässt sich in manchen WebView-Apps aber offensichtlich bis hin zu iOS 10 ausnutzen. Entwickler, die WebView in ihren Apps einsetzen, sollten ihre Software auf die Schwachstelle hin prüfen und Vorkehrungen treffen, um automatische Anrufe zu verhindern, schreibt der Sicherheitsforscher – Apple müsse zudem das Standardverhalten in WebView für das Ausführen von Anrufen ändern, er habe den Fehler an den Konzern gemeldet.
911-Anrufe durch Twitter-Link
Ein US-Teenager hatte vor wenigen Tagen durch einen bei Twitter veröffentlichten Exploit zahlreiche iPhone-Anrufe bei der lokalen Notrufzentrale ausgelöst – und wurde daraufhin verhaftet. Es habe eine “ernsthafte Störung des 911-Notfallsystems im ganzen Stadtgebiet von Phoenix und möglicherweise auch anderer US-Staaten” ausgelöst, teilte der zuständige Sherriff mit. Bei der von dem Teenager verwendeten Methode handele es sich aber entweder um einen weiteren, anderen Fehler oder zumindest einen anderen Auslöser, so Mulliner. (lbe)
