Bei der Kurzbefehle-App handelt es sich um ein mächtiges Automatisierungs-Tool, das Apple plattformübergreifend einsetzt. Ausgehend von der Workflow-App, die Apple 2015 aufkaufte, bahnte sie sich ihren Weg von der iOS-Plattform auf den Mac und neuerdings auf die Vision Pro. Das Prinzip: Anwender gestalten aus vorgefertigten Aktionen individuelle Abläufe, um Bilder zu bearbeiten, Daten aufzuzeichnen oder Informationen zu verschicken. Diese Kurzbefehle kann man nicht nur über die iCloud auf alle persönlichen Geräte übernehmen, sondern auch mit anderen Anwendern teilen. Ein feinmaschiges Berechtigungs-Management soll dabei sicherstellen, dass kein unkontrollierter Datenabgriff erfolgt.


Sicherheitsforscher der Firma BitDefender dokumentieren eine Lücke in iOS 17 und macOS 14, die sich ausnutzen ließ, um Informationen ohne Rückfrage zu verschicken. Diese bestand in der Aktion "URL erweitern". Sie ist dafür gedacht, um Kurz-URLs in ihre verlängerten Pendants zu verwandeln. Dabei wird nicht überprüft, welche Inhalte ihr anvertraut werden. Allerdings akzeptiert die URL-erweitern-Aktion nur Text. Kein Problem für einen Kurzbefehl: Die Aktion "Base64 Codieren" wandelt jedes Dateiformat in URL-kompatible Zeichenketten um.


Kritisch, aber durchschaubar
Für einen effektiven Datenabgriff müsste ein Angreifer eine Webdomain besitzen, die über einen URL-Parameter lange Zeichenketten empfangen und sichern kann. Deren URL müsste er nun in einen Kurzbefehl einbauen, um unbemerkt Daten von einem iOS-Gerät übers Netz zu senden. Dafür müsste der Angreifer den Kurzbefehl noch unter die Leute bringen und dafür sorgen, dass diese ihn selbstständig ausführen. Allerdings könnten aufmerksame Nutzer selbst das auffällige Verhalten bemerken: Kurzbefehle zeigen auf Wunsch ihre Zusammensetzung an, damit Anwender sie anpassen können.

iOS 17.3 warnt zuverlässig
Allerdings zeigte die Kurzbefehle-App bei der URL-erweitern-Aktion keine explizite Warnung über das Weiterleiten des Bildes. Ausgefeilte Kurzbefehle können schon einmal mehrere hundert Aktionen umfassen – da fällt es schwer, den Zweck jedes einzelnen Schritts zu erfassen. Portale wie RoutineHub bieten zudem Kurzbefehle mit integriertem Update-Mechanismus an – so gelangen nachträglich Aktionen in einen Kurzbefehl, die man beim ersten Download gar nicht sehen konnte. Füttert man die URL-erweitern-Aktion unter iOS 17.3 und macOS 14.3 mit zusätzlichen Daten, warnt die Kurzbefehle-App. Der Hinweis zeigt sowohl Bild als auch die Ziel-URL an. Das sollte unaufmerksame Nutzer vom Verwenden des Kurzbefehls abhalten.