IT-Sicherheitsexperte Nitesh Dhanjani macht in seinem Blog auf eine ernstzunehmende Sicherheitslücke in iOS aufmerksam: Über spezielle Links können iPhone-Apps direkt aus dem mobilen Safari-Browser angesprochen und gestartet werden.
Baut man z.B. folgendes iFrame in eine Website ein:
dann öffnet sich ein Dialog, in dem der Benutzer den Anruf der Telefonnummer bestätigen oder ablehnen kann.
Bei Drittanbieter-Apps (z.B. Skype) erscheint aber nicht immer Sicherheits-Nachfrage:
Skype ist, so Dhanjani, nur ein Beispiel aus einer Vielzahl von Apps, die ohne User-Interaktion gestartet und angesprochen werden können. Mit Hilfe von registrierten Aktionen (z.B. ein Skype-Anruf) können Apps also bis zu einem gewissen Grad direkt angesprochen werden.
Nicht nur das iPhone, sondern auch das iPad und der iPod Touch sind von diesem Problem betroffen.
Third party developers, including developers who create custom applications for enterprise use, need to realize their URL handlers can be invoked by a user landing upon a malicious website and not assume that the user authorized it. Apple also needs to step up and allow the registration of URL Schemes that can instruct Safari to throw an authorization request prior to yanking the user away into the application.
Auf Anfrage von Dhanjani erklärte Apple anscheinend, dass die jeweiligen Entwickler für die Absicherung ihrer Apps verantwortlich seien.
2 Kommentare
Kommentare sind geschlossen.
Also noch mehr aufpassen als bisher schon. Die Smartphons werden ja mehr zum fluch als zum segen.
hui ich hoffe das wird beim iOS 4.2 behoben :S also schön aufpassen