URL-Schemes: Etablierte Technik kann missbraucht werden
Die Sicherheitsexperten von Trend Micro warnen Entwickler von iOS-Apps vor einem potenziellen Risiko bei der Verwendung der sogenannten URL-Schemes. URL-Schemes bezeichnet eine Technik, mit deren Hilfe Apps miteinander kommunizieren können. Sendet etwa eine App ein „sms://“, so würde damit der Kurznachrichtendienst angesprochen. Dabei können natürlich Parameter übergeben werden.
Dieses Verfahren ist an sich nicht problematisch, aber dessen Implementierung durch App-Entwickler kann es sein. So hat Trend Micro nach eigenen Angaben einige populäre Apps gefunden, die in gefährlicher Weise Gebrauch von URL-Schemes machen.
Wie die Sicherheitsexperten in einer Studie erklären, könnten Hijacker unsichere Umsetzungen dazu nutzen, Accounts zu übernehmen oder wenigstens sensible Daten zu stehlen oder zu manipulieren. Apple weist Entwickler in einem Support-Dokument deutlich auf das Gefahrenpotenzial hin und gibt Tipps zur sicheren Implementierung von URL-Schemes.
URL-Scheme-Hijacking am Beispiel WeChat
Zu den Apps, denen Trend Micros einen unsicheren URL-Scheme-Einsatz bescheinigt, gehört das in Asien überaus populäre Wechat. Wechat wird nicht nur als Kommunikationsplattform genutzt, sondern hat sich zu einem Allround-Werkzeug entwickelt, mit dem Nutzer viele Aspekte ihres Alltags gestalten können. Inzwischen bietet Wechat sogar die Möglichkeit, finanzielle Transaktionen durchzuführen.
Allround-Lösung besonders gefährdet
Gerade bei Apps, die einen breitgefächerten Einsatzbereich haben, raten die Trend-Micro-Experten zu einer besonders umsichtigen Vorgehensweise bei der Verwendung von URL-Schemes. Immerhin ist der potenzielle Schaden gleich um ein Mehrfaches höher, verglichen mit einer App, die sich etwa darauf beschränkt, Fotos zu speichern oder andere singuläre Tasks abzudecken. So haben die Sicherheitsexperten nach eigener Aussage eine Methode gefunden, mit der Nutzer dazu gebracht werden können, gefälschte Wechat-Rechnungen zu bezahlen.
Problematisch sei vor allem, dass die Nutzung von URL-Schemes über mehrere Apps hinweg möglich ist. So demonstriert Trend Micro am Beispiel der in Asien ebenso erfolgreichen Shopping-App Suning, wie deren bequeme Anmeldemöglichkeit per Wechat-Account missbraucht werden kann, um das Wechat-Login-Token zu stehlen. Da die Abfrage-Syntax immer gleich ist und keine eigene Authentifizierung der Herkunft der Abfrage seitens Wechat stattfindet, könnten Entwickler mit entsprechender krimineller Energie etwa eine App schreiben, die sich als Suning ausgibt, und so massenweise Wechat-Tokens abgreifen.
Befall nicht ohne Weiteres möglich
Das ist natürlich nicht ganz einfach. Denn die ins Visier genommenen Nutzer müssten zunächst dazu gebracht werden, die eben beschriebene Stealth-App zu installieren. Alternativ müsste sich eine bereits etablierte App kriminell verhalten. In beiden Fällen müssten die Prüfinstanzen in Apples App-Store versagen.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team