Apps könnten Adressdaten bearbeiten
Zu breite Berechtigungen: Falsche Nachrichten aus dem Bekanntenkreis
Einmal mehr stehen Apples zu weit gefasste Berechtigungen für Drittanbieter-Applikationen in der Kritik. Nachdem der Security-Experte Felix Krause erst im vergangenen Oktober die Kamera-Berechtigungen des iPhone-Betriebssystems kritisierte und darauf aufmerksam machte, dass Apps deren Nutzer einmal den Zugriff auf die iPhone-Kamera gestattet hätten, fortan neue Aufnahmen auch im Systemhintergrund anfertigen könnten, macht Jordan Smith nun auf die Kontakt-Berechtigungen aufmerksam.
Diese könnten dazu führen, dass Anwender iMessage- oder SMS-Nachrichten von vermeintlich bekannten Kontakten erhielten und so zu leichten Opfern von Phishing-Angriffen werden könnten.
In seiner Fallbeschreibung führt Smith das folgende Szenario aus: Anwender die einer App, etwa einem Duplikate-Finder, den Zugriff auf ihre Kontakt-Daten gewähren, müssten im schlimmsten Fall damit rechnen, dass diese den Datenbestand auch bearbeitet.
Eine boshafte Applikation wäre so in der Lage, eine beliebige Rufnummer zum Kontakt-Profil einer bereits in eurem Adressbuch abgelegten Person hinzuzufügen. Anschließend könnten Phishing-Angriffe über die neu hinzugefügte Rufnummer gefahren werden, die euch so den Eindruck vermitteln, als würden die Nachrichten aus der Feder eines Bekannten, eines Freundes oder Arbeitskollegen kommen.
Wie gesagt, Smith beschreibt zwar ein theoretisches Szenario, aber auch ein durchaus nachvollziehbares. Nicht wenige Anwendungen fordern heute den Zugriff auf eure Adressbücher ein. Sei es um eure Profil-Daten auszufüllen, um Freundeslisten abzugleichen oder eure Handy-Nummer für eine 2-Faktor-Authentifizierung in Erfahrung zu bringen.
Smith fordert, dass Apple die bislang kombiniert vergebene Lese- und Schreib-Berechtigung zweiteilen sollte. Anwendungen müssten euch so explizit danach fragen, ob sie die Kontakt-Daten nicht nur einsehen, sondern auch verändern dürften.
Klingt logisch und wird von mir befürwortet!
Na und? Dafür gibt es aber viele tolle neue Emojis. Wer braucht schon Sicherheit – Emojis sind unsere Zukunft… :-)
Als wenn das Emoji-Team auch für die sicherheitsrelevanten Bereiche zuständig wäre.
Manche begreifen es einfach nicht.
@Dough:
q.e.d. – Riddick hat einen WITZ gemacht. Sogar mit Smiley.
die emojis dienen auch hauptsächlich dazu, die breite masse zum updaten zu bewegen – ohne solche „features“ warten diese oft monate mit dem update, wenn sie überhaupt updaten. einfach mal nachdenken!
Sicherheit? Wer braucht schon Sicherheit, die Leute sind gerade mit dem erstellen der Buchhaltung beschäftigt, da deiner Logik nach ein Team alles macht, fehlt dafür leider die Zeit. Ah und neues iPhone liegt dieses Jahr auch nicht drin, die Steurn schlucken echt sua viel Zeit.
Genau…..
Ich vermisse ein Emoji von der ,,Raute des Grauens“
Auch eines von der stattlichen Erscheinung des Deutschen Aussenmeisters mit dem zu kleinen Anzug.
Besser könnte ich doch totales Missfallen nicht ausdrücken.
Aber ist bestimmt Verboten!!!
Nicht alle verstehen den Zynismus, den ich hiermit teile :-)
Danke für den Hinweis. Ich dürfte nicht der Einzige sein, dem erst durch Euren Artikel klar wird, dass Apps überhaupt Schreibberechtigungen auf das Adressbuch erhalten können. Lesen und Schreiben sollte in der Tat getrennt werden.
Liebe Redaktion, was bedeutet: ..einmal Kamerazugriff gewährt… fortan im Hintergrund…? Bleibt der (1x gewährte) Zugriff dann, trotz nachträglicher Deaktivierung, dennoch bestehen?
Nein… sobald du den Zugriff entzogen hast, ist alles in Ordnung.
Nein, bei nachträglicher Deaktivierung hat die App natürlich keinen Zugriff mehr, auch nicht im Hintergrund. Aber solange der Zugriff auf die Kamera erlaubt ist, kann eine App auch im Hintergrund darauf zugreifen, ohne das der Nutzer das merkt. Selbst wenn die Hintergrundaktualisierung für diese App deaktiviert wurde. Entweder sollte Apple den Zugriff auf die Kamera nur im Vordergrund gewähren, oder den Nutzer darauf hinweisen, wenn eine App dies im Hintergrund tut.
man lese den Link zum entsprechenden Artikel, der – extra für Dich – noch einmal im Text gepostet ist.
Interessant hierzu wiederum: Oben steht, dass die App dann „neue Aufnahmen auch im Systemhintergrund anfertigen“ könne (was mich tatsächlich sehr wundern würde), im verlinkten Originalbeitrag ist aber explizit von „Aufnahmemöglichkeit jederzeit wenn die App im Vordergrund ist“ die Rede. Was denn nun?
2.5.4 Multitasking apps may only use background services for their intended purposes: VoIP, audio playback, location, task completion, local notifications, etc. If your app uses location background mode, include a reminder that doing so may dramatically decrease battery life. (App Store Review Guideline)
Ich meine das schliesst die Nutzung der Kamera im Hintergrund aus, denn dafür gibt es keinen Grund. Apps sind schon für weniger aus dem App Store geflogen. Erinnert sich wer an das Drama mit Facebook, die ein leeres Audio File in ihre App gebastelt haben um unbegrenzt im Hintergrund zu laufen? Die App flog weltweit für 5 Stunden aus dem App Store bis FB zurückkrebste und das Update nachreichte.
Nicht mal FaceTime Video funktioniert im Hintergrund. Dann werden 3rd Parties das auch nicht können oder dürfen.
Sinnvolle Änderung. Ist bei dem Zugriff auf Fotos nicht genau das eingeführt worden? Auch wenn ich bisher nur „Lesen & Schreiben“ als Berechtigung gesehen habe. Der Zugriff auf Kontakte und Fotos wurde von mir jedenfalls schon immer sehr gewissenhaft vergeben. Zum Glück kann man bei iOS die Apps auch weiternutzen, selbst wenn man den Zugriff auf etwas verwährt, das für die App nicht essentiell ist. Ist das bei Android eigentlich immer noch mit den Berechtigungen so, dass man nur die Wahl hat zwischen „Friss oder Stirb“?
Das ist schon lange nicht mehr so. Kurze Zeit war die Berechtigungsvergabe sogar angenehmer als unter iOS.
Mit Android 9 kann wird übrigens die Möglichkeit stark eingeschränkt,das im Hintergrund laufende Apps auf Kamera und Mikrofon zugreifen können.
Das lässt hoffen, dass auch Apple hier nochmal nachbessert. Danke für deinen Hinweis.
Unfade (Bilder scannen via Kamera) hat normalerweiße nur Schreibrechte.
Super nervige Funktion. Telegram z.B. lädt alle Nummern hoch benachrichtigt einen teils 5 Jahre nach Kontaktabbruch wenn jemand davon Telegram hat UND legt den Kontakt auch im iPhone wieder an! Abstellen kann man das nur durch löschen des Accounts.
An sich find ich die Idee wirklich super, ich nbin mir nur nicht sicher ob es dem Durchschnittsuser wirklich mehr Sicherheit bringt. DIe meisten die sich nicht für ihr Smartphone interessieren und es einfach nur benutzen wollen, wissen jetzt schon kaum über die Datenschutzeinstellungen im iPhone bescheid, geschweige denn nutzen diese. Zumindest ist das meine Erfahrung und ich arbeite täglich mit iPhone Kunden.
Dennoch hatt er dabei natürlich völlig recht, es wäre sinvoll das zu trennen. Für Messenger macht es durchaus Sinn meine Kontakte lesen zu können um sie mit den eingehenden Nachrichten als Namen anzuzeigen, jedoch ist es unnötig das sie von sich aus neue erstellen. Wäre es denn nicht auch denkbar die Einstellungen so zu belassen aber den Schreibzugriff so zu gestalten das der User jede Änderung in nem Pop-Up (ähnlich dem der ersten Anfrage zur Berechtigung) angezeigt bekommt, bevor sie passieren soll und sie dann manuell bestätigen muss? Mir kommt da spontan die Ausage von STeve Jobs in den Sinn, er meinte damals es sei das richtige den User jedes mal zu fragen wenn auf sensible Daten zugegriffen werde, Es könne für manche Apps sinvoll sein, aber man müsse nachfragen, jedes mal, solange bis einem der Nutzer selber sagt das er zukünftig nicht mehr gefragt werden möchte. Das fände ich grundsätzlich keine Schlechte Lösung.
Bsp.
Titel: Whatsapp
Text: Whatsapp versucht gerade einen neuen Kontakt in der Kontakte App zu verändern.
John Appleseed
1 Apple Park Way
95014 Cupertino, CA
USA
Neuer Kontakt
Möchtest du Whatsapp erlauben diese Änderungen vorzunehmen?
Buttons: Ja, Nein, Whatsapp immer erlauben
Am Ende wird Apple eine Art Little Snitch einführen, was ich begrüssen würde
Genau das ist mir passiert! SMS von einem gefakten Kontakt inklusive Kontaktbild und Adressbucheintrag erhalten. Nach zweimaligen Gegencheck, ob es sich wirklich um einen meiner Kontakte handelt auf einen Phishing Link geklickt.. Hätte nie gedacht, dass mir sowas mal passiert..