News

Entwickler warnt vor App-Kostenfalle: Telefonanrufe starten automatisch

Gefahr für iPhone- und iPad-Nutzer kommt per Messenger: Ein Klick auf den Link - und schon startet ein Telefonanruf. Offene Türen für Missbrauch, so Entwickler Andrei Neculaesei in seinem Blog. Facebook soll bereits ein App Fix zugesagt haben.

26.08.2014, 16:12 Uhr
SMS© TristanBM / Fotolia.com

Telefonterror durch Textmessenger? Theoretisch denkbar. Denn Gmail, Facebook-Messenger und Google+ können in Apples mobilem Betriebssystem iOS benutzt werden, um Telefonanrufe zu starten. Das hat jetzt der Entwickler Andrei Neculaesei des dänischen Unternehmens Airtame herausgefunden und in seinem Blog veröffentlicht.

Kostenfalle per URI

Und das ist der Trick: E-Mail-Adressen, Termine oder Telefonnummern werden in Messenger-Texten oft als Links dargestellt – sognnannte Uniform Resource Identifier (URI). Und das kann zu Missbrauch führen. Apple soll jedoch darüber aufgeklärt haben, dass sein Betriebssystem im Safari-Browser eine Warnung anzeigt, bevor der Anruf durchgeleitet wird. Bei Drittanbieter-Apps ist dies aber nicht zwangsläufig der Fall. So müssen die Entwickler selbst für einen Hinweis sorgen – und das haben offenbar viele versäumt, so Neculaesei.

Der Programmierer hat offenbar mittels JavaScript Links in Webseiten so manipuliert, dass sie sich von selber starten. Werden diese Seiten durch andere Apps als Safari angesteuert, aktivieren sie sich und die Anrufe starten, so Neculaesei.

In seiner Entwicklerdokumentation klärt Apple auf, dass iOS im Safari-Browser bei einem Klick auf eine Telefonnummer automatisch eine Warnmeldung anzeigt, bevor ein Anruf gestartet wird. In Drittanbieter-Apps wird diese Meldung jedoch nicht automatisch dargestellt. Entwickler müssen sich selbst um eine Implementierung kümmern. Wie Neculaesei herausgefunden hat, dürften dies einige verabsäumt haben.

FaceTime-Nutzer ebenfalls gefährdet

Die Schwachstelle könnte zum Missbrauch inspirieren nach dem Prinzip der tückischen Dialer. Kriminelle könnten von den Smartphones nichtsahnender Besitzer aus kostenpflichtige Mehrwertnummern aktivieren. Klickt der Nutzer auf einen Link, den ihm ein Betrüger zusendet, startet der Anruf automatisch und schon dreht sich die Kostenspirale. Auch FaceTime-Anrufe könnten so zu teuren Fallen werden: FaceTime-Nutzer können per Fingertipp über WLAN mittels iPhone, iPad iPod touch oder Mac videotelefonieren.

Neculaesei kritisert, dass viele Entwickler die Dokumentationen nicht ausreichend studieren. Apple schreibe eindeutig, eine App könne so programmiert werden, dass sie ihre eigene Warnmeldung anzeigt. Sehr wahrscheinlich sind seine Entdeckungen nur die Spitze des Eisbergs: Viele weitere Apps könnten von dieser oder ähnlichen Schwachstellen betroffen sein, so der Autor.

Facebook soll dem Technik-Magazin Techradar zufolge erklärt haben, das Problem sei erkannt und in Arbeit, ein iOS App Fix werde in Kürze erwartet.

(Dorothee Monreal)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang