Informationen wie E-Mail-Adressen, Termine oder auch Telefonnummern erscheinen in mobilen Betriebssystemen wie iOS häufig als Links – durch sogenannte URIs (Uniform Resource Identifier). Ein einfacher Klick startet direkt die entsprechende App. Entwickler Andrei Neculaesei hat nun herausgefunden, dass die Umsetzung dieser Funktion in beliebten Apps wie Facebook Messenger, Gmail oder Google+ ausgenutzt werden kann, um ungefragt Telefonanrufe zu starten.

Entwickler müssen sich um Warnmeldung kümmern

In seiner Entwicklerdokumentation klärt Apple auf, dass iOS im Safari-Browser bei einem Klick auf eine Telefonnummer automatisch eine Warnmeldung anzeigt, bevor ein Anruf gestartet wird. In Drittanbieter-Apps wird diese Meldung jedoch nicht automatisch dargestellt. Entwickler müssen sich selbst um eine Implementierung kümmern. Wie Neculaesei herausgefunden hat, dürften dies einige verabsäumt haben.

Automatischer Telefonanruf durch JavaScript

Für einen Test hat der Entwickler eine Webseite erstellt, auf der durch JavaScript automatisch eine fiktive Telefonnummer angeklickt wird. Anschließend hat er sich diesen Link in Apps wie dem Facebook Messenger, Gmail oder Google+ selbst zugeschickt. Nach einem Klick wird die Webseite geladen und der Anruf direkt gestartet – ohne Bestätigung durch den Nutzer. Auch ein FaceTime-Videoanruf soll so direkt aufgebaut werden können.

Mehrwertnummern

Die Schwachstelle könnte von Angreifern ausgenutzt werden, um auf Geräten von Nutzern Anrufe zu kostenpflichtigen Mehrwertnummern aufzubauen. Betroffene Personen müssten nur auf die Links klicken, der Anruf wird anschließend automatisch gestartet. Die Umsätze daraus würden in die Taschen der Angreifer fließen. Bei einem FaceTime-Anruf könnten hingegen Screenshots einzelner Frames angelegt werden, schreibt Neculaesei. Er nennt die Schwachstelle deshalb die "Hello Pretty!"-Attacke.

Facebook arbeitet an Update

Neculaesei gibt die Schuld dabei den Entwicklern: "Leute lesen die Entwicklerdokumentation überhaupt nicht." Apple schreibe eindeutig, dass eine native App so programmiert werden könne, um ihre eigene Warnmeldung anzuzeigen. Neculaesei vermutet, dass noch viele weitere Apps von der Schwachstelle betroffen sein könnten. Facebook hat mittlerweile reagiert und bestätigt gegenüber TechRadar, dass an einer Lösung des Problems gearbeitet wird. Ein Update der iOS-Apps soll demnächst veröffentlicht werden. (wen, derStandard.at, 25.8.2014)