Wann den iPhone selbststänneg telefonéiert

Stellt iech vir, ären Telefon rifft selbststänneg eng friem Telefonsnummer un, an dir kënnt näischt dogéint maachen. Dat klengt no engem zimlechen Horror-Szenario fir vill un eis, mä et ass een, deen leider all ze liicht Realitéit kéint ginn.

Den IT-Secherheetsfuerscher Collin Mulliner huet nämlech eng Schwaachstell am iOS, dem Betribssystem, deen op den iPhones vun Apple leeft, fonnt. Méi genee am „WebView“. WebView ass eng Zort Browser, déi vill Apps benotzen, fir Web-Inhalter ze weisen. Wann dir zum Beispill an der Twitter-App op ee Link klickt, gëtt de Link net am Safari, mä mat WebView an der Twitter-App opgemaach. An genee deen Mechanismus huet den Collin Mulliner ausgenotzt. Hien huet eng speziell Internetsäit preparéiert, déi d‘Schwaachstell am WebView ausnotzt. Wann een dann zum Beispill mat der Twitter-App op de Site geet, kann deen einfach eng Telefonsnummer uruffen, ouni datt den User fir d‘éischt gefrot gëtt, op en domadder averstanen ass.

Mat engem speziellen Trick ass et dann och méiglech, den User-Interface fir e puer Sekonnen anzefréieren, sou datt een d‘Telefonat net ofbrieche kann. Domadder wier et theoretesch méiglech, datt Krimineller Leit op eng deier Spezial-Telefonsnummer uruffe loossen an sou d‘Telefonsrechnung an d‘Luucht dreiwen. Bis elo ass awer nach keng esou Attack bekannt. Et sinn vun der Schwaachstell och just e puer Apps betraff, sou zum Beispill LinkedIn oder Twitter. Aner Apps benotzen dacks net WebView, mä amplaz „Safari View Controller“, wou et déi Schwaachstell net gëtt.

Wat kann een als User dann elo maachen? Am Moment nach näischt. 2008 gouf et déi Schwaachstell schonn eng Kéier, se ass dunn vun Apple gefléckt ginn. Et bléift also ze hoffen, datt beim nächsten Update de Problem geléist wäert ginn. Bis dohinner bléift just den Rot, deen ëmmer gëllt: Sécherheets-Updates ëmmer direkt installéieren an virun allem: Oppassen, wat fir een Link een uklickt!

Weider Informatiounen zum Thema Internetsécherheet fannt dir op bee-secure.lu

Quellen:

https://www.heise.de/security/meldung/App-Schwachstelle-Angreifer-koennen-iPhone-Anrufe-ausloesen-3460552.html

https://www.mulliner.org/blog/blosxom.cgi/security/ios_webview_auto_dialer.html

Creator: