News

iOS-Apps: Per URL-Scheme-Hijacking können sensible Daten gestohlen werden

Per URL-Scheme-Hijacking kann Unbefugten der Zugriff auf sensible Daten gelingen. (Grafik: Shutterstock)

iOS-Apps verwenden URL-Schemes, um miteinander zu kommunizieren. Unter Umständen können sie per URL-Scheme-Hijacking zu schädlichen Zwecken missbraucht werden.

URL-Schemes: Etablierte Technik kann missbraucht werden

Die Sicherheitsexperten von Trend Micro warnen Entwickler von iOS-Apps vor einem potenziellen Risiko bei der Verwendung der sogenannten URL-Schemes. URL-Schemes bezeichnet eine Technik, mit deren Hilfe Apps miteinander kommunizieren können. Sendet etwa eine App ein „sms://“, so würde damit der Kurznachrichtendienst angesprochen. Dabei können natürlich Parameter übergeben werden.

Dieses Verfahren ist an sich nicht problematisch, aber dessen Implementierung durch App-Entwickler kann es sein. So hat Trend Micro nach eigenen Angaben einige populäre Apps gefunden, die in gefährlicher Weise Gebrauch von URL-Schemes machen.

Wie die Sicherheitsexperten in einer Studie erklären, könnten Hijacker unsichere Umsetzungen dazu nutzen, Accounts zu übernehmen oder wenigstens sensible Daten zu stehlen oder zu manipulieren. Apple weist Entwickler in einem Support-Dokument deutlich auf das Gefahrenpotenzial hin und gibt Tipps zur sicheren Implementierung von URL-Schemes.

URL-Scheme-Hijacking am Beispiel WeChat

Zu den Apps, denen Trend Micros einen unsicheren URL-Scheme-Einsatz bescheinigt, gehört das in Asien überaus populäre Wechat. Wechat wird nicht nur als Kommunikationsplattform genutzt, sondern hat sich zu einem Allround-Werkzeug entwickelt, mit dem Nutzer viele Aspekte ihres Alltags gestalten können. Inzwischen bietet Wechat sogar die Möglichkeit, finanzielle Transaktionen durchzuführen.

Allround-Lösung besonders gefährdet

Gerade bei Apps, die einen breitgefächerten Einsatzbereich haben, raten die Trend-Micro-Experten zu einer besonders umsichtigen Vorgehensweise bei der Verwendung von URL-Schemes. Immerhin ist der potenzielle Schaden gleich um ein Mehrfaches höher, verglichen mit einer App, die sich etwa darauf beschränkt, Fotos zu speichern oder andere singuläre Tasks abzudecken. So haben die Sicherheitsexperten nach eigener Aussage eine Methode gefunden, mit der Nutzer dazu gebracht werden können, gefälschte Wechat-Rechnungen zu bezahlen.

Problematisch sei vor allem, dass die Nutzung von URL-Schemes über mehrere Apps hinweg möglich ist. So demonstriert Trend Micro am Beispiel der in Asien ebenso erfolgreichen Shopping-App Suning, wie deren bequeme Anmeldemöglichkeit per Wechat-Account missbraucht werden kann, um das Wechat-Login-Token zu stehlen. Da die Abfrage-Syntax immer gleich ist und keine eigene Authentifizierung der Herkunft der Abfrage seitens Wechat stattfindet, könnten Entwickler mit entsprechender krimineller Energie etwa eine App schreiben, die sich als Suning ausgibt, und so massenweise Wechat-Tokens abgreifen.

So funktioniert das URL-Scheme-Hijacking: Oben der normale Vorgang, unten das Hijacking. (Grafik: Trend Micro)

Befall nicht ohne Weiteres möglich

Das ist natürlich nicht ganz einfach. Denn die ins Visier genommenen Nutzer müssten zunächst dazu gebracht werden, die eben beschriebene Stealth-App zu installieren. Alternativ müsste sich eine bereits etablierte App kriminell verhalten. In beiden Fällen müssten die Prüfinstanzen in Apples App-Store versagen.

t3n meint: Hier haben wir einen dieser Fälle, in denen eine eigentlich nicht zu beanstandende Technik durch absichtlich böswillige oder fahrlässig dumme Verwendung zu einem Sicherheitsrisiko werden kann. Die Verantwortung trägt der einzelne App-Entwickler. Bislang scheint sich das Problem auf Asien, und dort insbesondere auf China, zu konzentrieren. App-Entwickler sollten Apples Empfehlungen folgen und Standardmethoden mit Authentifizierung den URL-Scheme-Shortcuts vorziehen. Dieter Petereit

Zum Weiterlesen:

Zur Startseite
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung