Entwickler warnt vor iOS-Angriffen über Kontakt-Berechtigungen

Apple unterscheidet aktuell nicht zwischen dem Schreiben und Lesen von Kontakten, wenn Nutzer Apps die Zugriffserlaubnis erteilen. Ein Entwickler schildert nun ein mögliches Szenario zum Abgreifen von Passwörtern.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Entwickler warnt vor iOS-Angriffen über Kontakte

Eine App bittet um Kontaktefreigabe.

(Bild: Jordan Smith)

Lesezeit: 3 Min.

Nutzer gehen mit der Kontaktefreigabe unter iOS zu unvorsichtig um – und Apple tut aktuell nichts dagegen. Vor dieser Problematik hat nun der Entwickler und Sicherheitsforscher Jordan Smith gewanrt. Apps, denen Nutzer auf iPhone und iPad Zugriff auf ihrem Adressbuch erteilen, könnten Kontakte nämlich sowohl lesen als auch schreiben – und so, zumindest theoretisch, clevere (Spear-)Phishing-Angriffe fahren. Ein konkretes Szenario beschrieb Smith in seinem Blog.

Um die Attacke durchzuführen, benötigt der Angreifer – in diesem Fall der Entwickler einer App mit böswilligen Motiven – sowohl die Mobilfunknummer des Nutzers (oder dessen iMessage-Anschrift) als auch Zugriff auf die Kontakte. Ersteres könnte etwa im Rahmen einer Zweifaktorauthentifizierung abgefragt werden, zweiteres lassen sich Kalender-, E-Mail- oder Kontakte-Apps routinemäßig geben – Nutzer sind (leider) gewohnt, solche Freigaben zu erteilen.

In Smiths Szenario versucht der Angreifer dann später, mit diesen Daten den Nutzer auf ein Phishing-Portal zu locken, wo dieser dann wichtige Passwörter zwecks Abgriff eingeben könnte. Um den Versuch besonders realistisch zu gestalten, würde der Angreifer einen Kontakt des Nutzers imitieren. Das geht dank Kontaktezugriff sehr einfach: Der Angreifer muss nur seine eigene Telefonnummer oder iMessage-Adresse einem bereits bestehenden Kontakt ("Mama") hinzufügen, was Apps dank Schreibzugriff jederzeit können, ohne dass der Nutzer dies merkt. Anschließend wird der Nutzer von dem vermeintlichen Bekannten auf die Phshing-Seite gelockt. Dies kann durch App-Entwickler geschehen, deren Programme längst vom Gerät gelöscht wurden – es reicht ein früherer kurzer Zugriff auf das Adressbuch sowie eine Telefonnummer oder iMessage-Adresse.

Smith hat das Problem – das in ähnlicher Form auch auf Android-Geräten existiert – bereits an Apple gemeldet. Dort hieß es, ein solches App-Verhalten müsste im Überprüfungsprozess einer neuen Anwendung erkannt werden können. Smith fürchtet allerdings, dass dies unrealistisch ist, da Apps ein solches Verhalten erst zu einem späteren Zeitpunkt – und nicht während des App-Review-Prozesses – zeigen könnten.

Smith forderte Apple auf, den Kontaktezugriff zu überarbeiten und beispielsweise zu speichern, wenn Apps Änderungen vornehmen. Zudem sollte das Schreiben und Lesen von Kontakten getrennt zugelassen werden können. Denkbar sei auch, Nutzer beim ersten Schreibvorgang zu warnen. Bis Apple hier tatsächlich reagiert, sollten Nutzer bei der Vergabe von Zugriffsberechtigungen für Kontakte ganz genau hinsehen und sie nur renommierten Apps erteilen – und zudem überhaupt wissen, dass Apps auch Kontakte verändern und neue schreiben können.

Das Thema Berechtigungen und ihr Missbrauchspotenzial begleitet Apple seit längerem. Zuletzt hatten Entwickler vor den Gefahren der Fotofreigabe unter iOS gewarnt. (bsc)