iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Apps könnten Adressdaten bearbeiten

Zu breite Berechtigungen: Falsche Nachrichten aus dem Bekanntenkreis

Artikel auf Mastodon teilen.
24 Kommentare 24

Einmal mehr stehen Apples zu weit gefasste Berechtigungen für Drittanbieter-Applikationen in der Kritik. Nachdem der Security-Experte Felix Krause erst im vergangenen Oktober die Kamera-Berechtigungen des iPhone-Betriebssystems kritisierte und darauf aufmerksam machte, dass Apps deren Nutzer einmal den Zugriff auf die iPhone-Kamera gestattet hätten, fortan neue Aufnahmen auch im Systemhintergrund anfertigen könnten, macht Jordan Smith nun auf die Kontakt-Berechtigungen aufmerksam.

Kontakte

Diese könnten dazu führen, dass Anwender iMessage- oder SMS-Nachrichten von vermeintlich bekannten Kontakten erhielten und so zu leichten Opfern von Phishing-Angriffen werden könnten.

In seiner Fallbeschreibung führt Smith das folgende Szenario aus: Anwender die einer App, etwa einem Duplikate-Finder, den Zugriff auf ihre Kontakt-Daten gewähren, müssten im schlimmsten Fall damit rechnen, dass diese den Datenbestand auch bearbeitet.

Eine boshafte Applikation wäre so in der Lage, eine beliebige Rufnummer zum Kontakt-Profil einer bereits in eurem Adressbuch abgelegten Person hinzuzufügen. Anschließend könnten Phishing-Angriffe über die neu hinzugefügte Rufnummer gefahren werden, die euch so den Eindruck vermitteln, als würden die Nachrichten aus der Feder eines Bekannten, eines Freundes oder Arbeitskollegen kommen.

Wie gesagt, Smith beschreibt zwar ein theoretisches Szenario, aber auch ein durchaus nachvollziehbares. Nicht wenige Anwendungen fordern heute den Zugriff auf eure Adressbücher ein. Sei es um eure Profil-Daten auszufüllen, um Freundeslisten abzugleichen oder eure Handy-Nummer für eine 2-Faktor-Authentifizierung in Erfahrung zu bringen.

Smith fordert, dass Apple die bislang kombiniert vergebene Lese- und Schreib-Berechtigung zweiteilen sollte. Anwendungen müssten euch so explizit danach fragen, ob sie die Kontakt-Daten nicht nur einsehen, sondern auch verändern dürften.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
10. Apr 2018 um 08:13 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    24 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Na und? Dafür gibt es aber viele tolle neue Emojis. Wer braucht schon Sicherheit – Emojis sind unsere Zukunft… :-)

  • Danke für den Hinweis. Ich dürfte nicht der Einzige sein, dem erst durch Euren Artikel klar wird, dass Apps überhaupt Schreibberechtigungen auf das Adressbuch erhalten können. Lesen und Schreiben sollte in der Tat getrennt werden.

  • Liebe Redaktion, was bedeutet: ..einmal Kamerazugriff gewährt… fortan im Hintergrund…? Bleibt der (1x gewährte) Zugriff dann, trotz nachträglicher Deaktivierung, dennoch bestehen?

    • Nein… sobald du den Zugriff entzogen hast, ist alles in Ordnung.

    • Nein, bei nachträglicher Deaktivierung hat die App natürlich keinen Zugriff mehr, auch nicht im Hintergrund. Aber solange der Zugriff auf die Kamera erlaubt ist, kann eine App auch im Hintergrund darauf zugreifen, ohne das der Nutzer das merkt. Selbst wenn die Hintergrundaktualisierung für diese App deaktiviert wurde. Entweder sollte Apple den Zugriff auf die Kamera nur im Vordergrund gewähren, oder den Nutzer darauf hinweisen, wenn eine App dies im Hintergrund tut.

    • man lese den Link zum entsprechenden Artikel, der – extra für Dich – noch einmal im Text gepostet ist.

      • Interessant hierzu wiederum: Oben steht, dass die App dann „neue Aufnahmen auch im Systemhintergrund anfertigen“ könne (was mich tatsächlich sehr wundern würde), im verlinkten Originalbeitrag ist aber explizit von „Aufnahmemöglichkeit jederzeit wenn die App im Vordergrund ist“ die Rede. Was denn nun?

      • 2.5.4 Multitasking apps may only use background services for their intended purposes: VoIP, audio playback, location, task completion, local notifications, etc. If your app uses location background mode, include a reminder that doing so may dramatically decrease battery life. (App Store Review Guideline)

        Ich meine das schliesst die Nutzung der Kamera im Hintergrund aus, denn dafür gibt es keinen Grund. Apps sind schon für weniger aus dem App Store geflogen. Erinnert sich wer an das Drama mit Facebook, die ein leeres Audio File in ihre App gebastelt haben um unbegrenzt im Hintergrund zu laufen? Die App flog weltweit für 5 Stunden aus dem App Store bis FB zurückkrebste und das Update nachreichte.

      • Nicht mal FaceTime Video funktioniert im Hintergrund. Dann werden 3rd Parties das auch nicht können oder dürfen.

  • Sinnvolle Änderung. Ist bei dem Zugriff auf Fotos nicht genau das eingeführt worden? Auch wenn ich bisher nur „Lesen & Schreiben“ als Berechtigung gesehen habe. Der Zugriff auf Kontakte und Fotos wurde von mir jedenfalls schon immer sehr gewissenhaft vergeben. Zum Glück kann man bei iOS die Apps auch weiternutzen, selbst wenn man den Zugriff auf etwas verwährt, das für die App nicht essentiell ist. Ist das bei Android eigentlich immer noch mit den Berechtigungen so, dass man nur die Wahl hat zwischen „Friss oder Stirb“?

  • Super nervige Funktion. Telegram z.B. lädt alle Nummern hoch benachrichtigt einen teils 5 Jahre nach Kontaktabbruch wenn jemand davon Telegram hat UND legt den Kontakt auch im iPhone wieder an! Abstellen kann man das nur durch löschen des Accounts.

  • An sich find ich die Idee wirklich super, ich nbin mir nur nicht sicher ob es dem Durchschnittsuser wirklich mehr Sicherheit bringt. DIe meisten die sich nicht für ihr Smartphone interessieren und es einfach nur benutzen wollen, wissen jetzt schon kaum über die Datenschutzeinstellungen im iPhone bescheid, geschweige denn nutzen diese. Zumindest ist das meine Erfahrung und ich arbeite täglich mit iPhone Kunden.

    Dennoch hatt er dabei natürlich völlig recht, es wäre sinvoll das zu trennen. Für Messenger macht es durchaus Sinn meine Kontakte lesen zu können um sie mit den eingehenden Nachrichten als Namen anzuzeigen, jedoch ist es unnötig das sie von sich aus neue erstellen. Wäre es denn nicht auch denkbar die Einstellungen so zu belassen aber den Schreibzugriff so zu gestalten das der User jede Änderung in nem Pop-Up (ähnlich dem der ersten Anfrage zur Berechtigung) angezeigt bekommt, bevor sie passieren soll und sie dann manuell bestätigen muss? Mir kommt da spontan die Ausage von STeve Jobs in den Sinn, er meinte damals es sei das richtige den User jedes mal zu fragen wenn auf sensible Daten zugegriffen werde, Es könne für manche Apps sinvoll sein, aber man müsse nachfragen, jedes mal, solange bis einem der Nutzer selber sagt das er zukünftig nicht mehr gefragt werden möchte. Das fände ich grundsätzlich keine Schlechte Lösung.

    Bsp.

    Titel: Whatsapp
    Text: Whatsapp versucht gerade einen neuen Kontakt in der Kontakte App zu verändern.

    John Appleseed
    1 Apple Park Way
    95014 Cupertino, CA
    USA

    Neuer Kontakt

    Möchtest du Whatsapp erlauben diese Änderungen vorzunehmen?

    Buttons: Ja, Nein, Whatsapp immer erlauben

  • Am Ende wird Apple eine Art Little Snitch einführen, was ich begrüssen würde

  • Genau das ist mir passiert! SMS von einem gefakten Kontakt inklusive Kontaktbild und Adressbucheintrag erhalten. Nach zweimaligen Gegencheck, ob es sich wirklich um einen meiner Kontakte handelt auf einen Phishing Link geklickt.. Hätte nie gedacht, dass mir sowas mal passiert..

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven