News & Rumors: 9. November 2010,

Unsicheres URL-Handling in iOS: Mit Webseiten Apps launchen zu einfach?

iOSMit den Standard-URL-Schemes soll in iOS das Starten verschiedener Applikationen ermöglicht werden. Das Feature des leicht bedienbaren mobilen Apple-OS könnte bei entsprechenden Parametern zum sicherheitsrelevanten Bug werden. Im „günstigsten“ Fall wird der Safari verlassen. Online-Betrüger könnten auf boshaftere Ideen kommen.

Vorneweg: den beschriebenen, automatischen Aufruf einer iOS/safarispezifischen URL konnten wir vor Ort auf die Schnelle nicht nachvollziehen. Nitesh Dhanjani beschreibt, wie via iFrame URLs automatisch via iPhone-Safari geöffnet werden, die wiederum spezifische Apps launchen und dabei Parameter übergeben können. Wie der Aufruf der URL http://www.macnotes.de per default die www.macnotes.de in einem Safari-Browser öffnet, wird mit tel:00-000-000-0000 die Telefon-Applikation mit der übergebenen Nummer gestartet – wobei in diesem Fall safari fragt, ob dies tatsächlich erwünscht ist. Mit skype:00000000000?call finde diese Abfrage jedoch beispielsweise nicht statt.
[singlepic id=10454 w=200 float=left] [singlepic id=10455 w=200 float=right] Spätestens mit dem automatisierten Anruf kostenpflichtiger Nummern oder dem Versenden von Premium-SMS würde das Feature schnell zum möglicherweise teuren Verwirrspiel, insbesondere, wenn der „Anruf“ über einen unsichtbaren iFrame gestartet wird (und User gelegentlich selbst bei Warnungen zum Standard-Tipp auf „OK“ neigen).

Die entsprechenden URL-Einleitungen wie sms: und skype: können von Apps selbst definiert werden, eine große Zahl von Apps haben entsprechende Schemata bereits definiert. Damit entsteht laut Dhanjani eine Sicherheitslücke, die zumindest zum ungewollten Verlassen des Safari ausgenutzt werden kann – einmal definiert, ruft die URL die zugehörige App aus dem Safari heraus auf, erst dann wird der User gefragt, ob er eine entsprechende Aktion durchführen möchte.

Den automatischen Aufruf einer tel:, sms: oder skype:-URL via iFrame konnten wir wie gesagt nicht nachvollziehen (iPhone 4/iOS 4.1). Zumindest vor dem Start einer entsprechenden App solle Safari Dhajanis Ansicht nach nachfragen, ob das tatsächlich gewünscht sei – ein Prozedere, welches im Fall der tel:-URL bereits angewendet werde. Skeptisch kommentiert wird der möglicherweise resultierende „Vista-Effekt“ – ein OS, welches bei allen Userinteraktionen erst nachfragt, ob tatsächlich die gewünschte Aktion durchgeführt werden soll, hat mit Nutzerfreundlichkeit nicht mehr viel zu tun.



Unsicheres URL-Handling in iOS: Mit Webseiten Apps launchen zu einfach?
4,24 (84,76%) 21 Bewertungen

Ähnliche Beiträge

iPhone 6s: Akku-Tausch mit Seriennummer überprüfen... Apple hat ein neues Webformular in die Welt gesetzt, mit dem Kunden anhand der Seriennummer des iPhone 6s überprüfen können, ob ihr Gerät Teil der kos...
Apple Maps: Apple setzt bald Drohnen ein Apple möchte gegenüber Google Maps weiter aufholen und wird bald zur Verbesserung des eigenen Kartendiensts Apple Maps auf die speziellen Fähigkeiten ...
AirPods: Auslieferung soll bald beginnen Die verzögerte Einführung der AirPods steht einer E-Mail von Tim Cook zufolge bevor. Die neuen Funk-Kopfhörer sollen „in den nächsten Wochen“ ausgelie...
Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.










Zuletzt kommentiert



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>