Unsicheres URL-Handling in iOS: Mit Webseiten Apps launchen zu einfach?
rj, den 9. November 2010Mit den Standard-URL-Schemes soll in iOS das Starten verschiedener Applikationen ermöglicht werden. Das Feature des leicht bedienbaren mobilen Apple-OS könnte bei entsprechenden Parametern zum sicherheitsrelevanten Bug werden. Im „günstigsten“ Fall wird der Safari verlassen. Online-Betrüger könnten auf boshaftere Ideen kommen.
Vorneweg: den beschriebenen, automatischen Aufruf einer iOS/safarispezifischen URL konnten wir vor Ort auf die Schnelle nicht nachvollziehen. Nitesh Dhanjani beschreibt, wie via iFrame URLs automatisch via iPhone-Safari geöffnet werden, die wiederum spezifische Apps launchen und dabei Parameter übergeben können. Wie der Aufruf der URL http://www.macnotes.de per default die www.macnotes.de in einem Safari-Browser öffnet, wird mit tel:00-000-000-0000 die Telefon-Applikation mit der übergebenen Nummer gestartet – wobei in diesem Fall safari fragt, ob dies tatsächlich erwünscht ist. Mit skype:00000000000?call finde diese Abfrage jedoch beispielsweise nicht statt.
Spätestens mit dem automatisierten Anruf kostenpflichtiger Nummern oder dem Versenden von Premium-SMS würde das Feature schnell zum möglicherweise teuren Verwirrspiel, insbesondere, wenn der „Anruf“ über einen unsichtbaren iFrame gestartet wird (und User gelegentlich selbst bei Warnungen zum Standard-Tipp auf „OK“ neigen).
Die entsprechenden URL-Einleitungen wie sms: und skype: können von Apps selbst definiert werden, eine große Zahl von Apps haben entsprechende Schemata bereits definiert. Damit entsteht laut Dhanjani eine Sicherheitslücke, die zumindest zum ungewollten Verlassen des Safari ausgenutzt werden kann – einmal definiert, ruft die URL die zugehörige App aus dem Safari heraus auf, erst dann wird der User gefragt, ob er eine entsprechende Aktion durchführen möchte.
Den automatischen Aufruf einer tel:, sms: oder skype:-URL via iFrame konnten wir wie gesagt nicht nachvollziehen (iPhone 4/iOS 4.1). Zumindest vor dem Start einer entsprechenden App solle Safari Dhajanis Ansicht nach nachfragen, ob das tatsächlich gewünscht sei – ein Prozedere, welches im Fall der tel:-URL bereits angewendet werde. Skeptisch kommentiert wird der möglicherweise resultierende „Vista-Effekt“ – ein OS, welches bei allen Userinteraktionen erst nachfragt, ob tatsächlich die gewünschte Aktion durchgeführt werden soll, hat mit Nutzerfreundlichkeit nicht mehr viel zu tun.