Zu breite Berechtigungen: Falsche Nachrichten aus dem Bekanntenkreis

Einmal mehr stehen Apples zu weit gefasste Berechtigungen für Drittanbieter-Applikationen in der Kritik. Nachdem der Security-Experte Felix Krause erst im vergangenen Oktober die Kamera-Berechtigungen des iPhone-Betriebssystems kritisierte und darauf aufmerksam machte, dass Apps deren Nutzer einmal den Zugriff auf die iPhone-Kamera gestattet hätten, fortan neue Aufnahmen auch im Systemhintergrund anfertigen könnten, macht Jordan Smith nun auf die Kontakt-Berechtigungen aufmerksam.

Diese könnten dazu führen, dass Anwender iMessage- oder SMS-Nachrichten von vermeintlich bekannten Kontakten erhielten und so zu leichten Opfern von Phishing-Angriffen werden könnten.

In seiner Fallbeschreibung führt Smith das folgende Szenario aus: Anwender die einer App, etwa einem Duplikate-Finder, den Zugriff auf ihre Kontakt-Daten gewähren, müssten im schlimmsten Fall damit rechnen, dass diese den Datenbestand auch bearbeitet.

Eine boshafte Applikation wäre so in der Lage, eine beliebige Rufnummer zum Kontakt-Profil einer bereits in eurem Adressbuch abgelegten Person hinzuzufügen. Anschließend könnten Phishing-Angriffe über die neu hinzugefügte Rufnummer gefahren werden, die euch so den Eindruck vermitteln, als würden die Nachrichten aus der Feder eines Bekannten, eines Freundes oder Arbeitskollegen kommen.

Wie gesagt, Smith beschreibt zwar ein theoretisches Szenario, aber auch ein durchaus nachvollziehbares. Nicht wenige Anwendungen fordern heute den Zugriff auf eure Adressbücher ein. Sei es um eure Profil-Daten auszufüllen, um Freundeslisten abzugleichen oder eure Handy-Nummer für eine 2-Faktor-Authentifizierung in Erfahrung zu bringen.

Smith fordert, dass Apple die bislang kombiniert vergebene Lese- und Schreib-Berechtigung zweiteilen sollte. Anwendungen müssten euch so explizit danach fragen, ob sie die Kontakt-Daten nicht nur einsehen, sondern auch verändern dürften.