Telekom-Mobilseite: iPhone-Apps können Rufnummer auslesen

Um ihren Kunden den Login-Vorgang beim Überprüfen des bereits verbrauchten Datenvolumens zu ersparen verzichtet die Telekom auf ihren Mobilseiten auf entsprechende Formulare und identifiziert Anwender, die das Online-Portal des Netzbetreibers im Mobilfunknetz aufrufen einfach automatisch.

Entsprechend blendet der Netzbetreiber beim Aufruf der Telekom-Seite pass.telekom.de direkt das bereits verbrauchte Datenvolumen ein und spart sich identifizierende Umwege. Eine Komfort-Funktion, die unter Umständen zur unfreiwilligen Preisgabe der eigenen Mobilrufnummer führen kann.

Darauf macht der Entwickler Frederik Riedel aufmerksam, der sich die mobilen Seiten der Telekom genauer angesehen hat. So blendet der Bonner Netzbetreiber auf seinem Portal auch die Mobilrufnummer des besuchenden Gerätes ein und zeigt diese, etwa auf der Angebotsseite Music Try&Buy, direkt am Kopf der Seite an.

Eine Information, die auf dem iPhone installierte Drittanwendungen problemlos abgreifen und so zur eindeutigen Identifikation ihrer Nutzer einsetzen können. Die Telekom gibt hier nicht nur die Nummern ihrer Anwender aus der Hand, sondern verteilt auch einen eindeutigen Fingerabdruck, der sich bei anliegender LTE-Verbindung problemlos im App-Hintergrund auslesen lässt.

Um auf den Misstand aufmerksam zu machen hat Riedel eine einfache Test-Anwendung entwickelt, die die Rufnummer abgreift und notiert:

Wir können definitiv davon ausgehen, dass „böswillige“ Apps wie Facebook und Uber diesen Umstand bereits ausnutzen. Der naheliegende Anwendungsfall ist natürlich auf die Telefonnummer des Benutzers zuzugreifen. Doch mit diesen Informationen können bösartige Apps die Nutzer auch gezielt verfolgen – zwischen verschiedenen Apps, nach Neuinstallationen und sogar wenn Anwender ihr Gerät wechseln.