Sicherheitslücke: iPhone wählt selbständig Abzocke-Nummer

T

toto

Aus einer heute veröffentlichten Pressemitteilung des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT)

"Mit einem einfachen Trick können Angreifer die Steuerung des Edelhandys übernehmen und automatisch einen Anschluss anwählen lassen – zum Beispiel eine teure 0900-Nummer. Betroffen sind alle bisher verkauften iPhones.
Das Szenario: Der iPhone-Nutzer empfängt auf seinem Handy eine E-Mail oder SMS mit einem Internetlink. Klickt der Empfänger darauf, öffnet sich zunächst eine gewöhnliche Internetseite. Doch plötzlich wählt das iPhone ohne Zutun des Nutzers die Abzocke-Telefonnummer. Ein Abbruch des Anrufs ist nicht möglich, der Handy-Bildschirm bleibt grau, die teure Nummer wird gewählt.
...
Die Lücke soll am 21. November mit Veröffentlichung der neuen Firmware gestopft werden."
 
T

toto

Der Fehler ist mit FW 2.2 behoben.
Aus dem Support-Dokument von Apple:
Impact: Visiting a maliciously crafted website may initiate a phone call without user interaction

Description: If an application is launched via Safari while a call approval dialog is shown, the call will be placed. This may allow a maliciously crafted website to initiate a phone call without user interaction. Additionally, under certain circumstances it may be possible for a maliciously crafted website to block the user's ability to cancel dialing for a short period of time. This update addresses the issue by properly dismissing Safari's call approval dialog when an application is being launched via Safari. Credit to Collin Mulliner of Fraunhofer SIT for reporting this issue.
About the security content of iPhone OS 2.2 and iPhone OS for iPod touch 2.2
 

Rothlicht

Aktives Mitglied
Mitglied seit
31.01.2004
Beiträge
5.599
Einen Thread zu diesem Thema anzupinnen, finde ich genauso wichtig, wie dass wenn in China ein Sack Reis umfällt.

Vor allem, weil in der Bekanntmachung der Meldung schon drin steht, dass dies heute per Softwareupdate gefixed wird.

Meiner Meinung nach, macht man hier die Leute unnötig verrückt, da für 24 Std. kurzzeitig Gefahr bestand.
 

Ersatzaccount

Aktives Mitglied
Mitglied seit
24.01.2007
Beiträge
1.267
Warum 24 Stunden?
Der Bug ist evtl. schon seit FW 2.1 oder noch früher drin.
Und alle die sich evtl. sagen "Och, FW 2.2 brauch ich nicht weil....." sehen jetzt, dass es doch sinnvoll wäre upzudaten!
 

OFJ

Aktives Mitglied
Mitglied seit
15.10.2004
Beiträge
9.421
Einen Thread zu diesem Thema anzupinnen, finde ich genauso wichtig, wie dass wenn in China ein Sack Reis umfällt...
Da sag ich mal, dass Du die Bedeutung der Thematik Sicherheitslücke vollkommen unterschätzt.
 

Riddeck

Aktives Mitglied
Mitglied seit
03.08.2007
Beiträge
4.643
Das seh ich auch so! Außerdem war zum Zeitpunkt als der thread pined wurde weder klar das die 2.2 kurz danach kommt und auch nicht das es in dieser gefixt wird!
 

moderato

Mitglied
Mitglied seit
01.08.2008
Beiträge
604
Ich find es sehr gut, für so etwas ein Thread zu öffnen.
SEHR WiCHTIG, DICKES LOB!!
 
E

EDLW

Es gibt nie zu viele Informationen. Ich denke, Alex24 war nur verärgert, dass sein iPhone angreifbar war und mal 24 Stunden nicht so perfekt.
 
Oben