iPhone-Anwendungen per iframe starten


Viele Anwendungen, die unter iOS (iPhone, iPod touch & iPad) laufen, können durch bestimmte URL-Schemes gestartet werden und Aktionen ausführen. Das Ganze ist auch per iframe möglich, sodass der Nutzer nirgendwo mehr draufklicken muss, sondern einfach eine Website aufrufen kann.
Schauen wir uns das Ganze an einem Beispiel an:

< iframe src=”tel:TELEFONNUMMER”></iframe>

Dieser html-Code ruft bei der angegebenen Telefonnummer an. Vorher erscheint allerdings noch eine Abfrage, ob auch wirklich dort angerufen werden soll. Also recht unbedenklich.

Was aber, wenn wir per Skype einen Anruf tätigen möchten?

< iframe src=”skype://TELEFONNUMMER?call“></iframe>

Nun, in diesem Fall sieht das schon anders aus. Hat der Nutzer die Skype-App im Hintergrund laufen und ist angemeldet, erscheint keine weitere Abfrage. Die Telefonnummer wird sofort angerufen. Das kann natürlich missbräuchlich verwendet werden; zum einen ist es für den Angerufenen nervig und zum anderen kann es dem Anrufer einen Haufen Geld kosten.

Für viele Apps gibt es URL-Schemes, eine Sicherheitsabfrage erscheint nur bei Apps, die standardmäßig in iOS integriert sind.
Eine Liste bereits genutzer Protokolle gibt’s hier: http://handleopenurl.com/scheme

Laut Apple liegt die Autorisierung für bestimmte Aktivitäten in der Verantwortung der jeweiligen App. Die Entwickler seien also gefordert, eine Autorisierung zu implementieren.

Dieser Blogeintrag bezieht sich auf einen Artikel des Sicherheitsforschers Nitesh Dhanjani.

Über m4gu5

Geek/Nerd, Level 12 Paladin, Linux-User
Dieser Beitrag wurde unter Security abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s