Apple iPhone tel:// Protocol Handler Schwachstelle • scip AG VulDB

VulDB: Apple iPhone tel:// Protocol Handler Schwachstelle

Allgemein

scipID: 3341
Betroffen: Apple iPhone Firmware bis 1.0.3
Veröffentlicht: 28.09.2007 (Michal Zalewski)
Risiko: problematisch

Beschreibung

Taxierung der Schwachstelle

Das iPhone ist ein von Apple entwickeltes Smartphone, das nur über drei herkömmliche Tasten und einen Regler verfügt und ansonsten ausschließlich über ein Display mit Multi-Touch-Funktion bedient wird. Der Verkaufsstart in den USA war am 29. Juni 2007. Das Handy wird dort ausschließlich in Kooperation mit dem amerikanischen Mobilfunkkonzern AT&T Wireless angeboten. Das Gerät vereint die Funktionen eines iPod-Video-Medienspielers mit dem eines Mobiltelefons mit Digitalkamera und Internetzugang. In Europa wird das Gerät ab dem 9. November 2007 zuerst in Deutschland und Großbritannien, später auch in Frankreich angeboten. Wie Michal Zalewski berichtet, kann mittels des Protocol Handlers tel:// das Wählen beliebiger Nummern mittels eines Links ohne Bestätigung des Benutzers initiiert werden.

Gleich über ein halbes Dutzend Schwachstellen adressierte Apple mit seinem ersten grossen Firmware Update für sein neues Lieblingskind, das iPhone. Bei der riesigen Medienpräsenz, die Apples angebliches Wunderkind bereits im Vorfeld erhielt, ist es kein Wunder dass sich eine Vielzahl von Researchern gierig auf das Gerät stürzte. Entsprechend überrascht es nicht, dass auch bereits nach kurzem diese Schwachstellen bekannt wurden. Eigentümern des Gerätes sei es geraten, das entsprechenden Firmware Upgrade einzuspielen – allerdings verbunden mit der Warnung, dass Apple ebenfalls mit diesem Update auch allfällige Sim-Hacks oder proprietäre Software von Drittherstellern wertlos macht.