Entwickler warnt vor iOS-Angriffen über Kontakt-Berechtigungen

Apple unterscheidet aktuell nicht zwischen dem Schreiben und Lesen von Kontakten, wenn Nutzer Apps die Zugriffserlaubnis erteilen. Ein Entwickler schildert nun ein mögliches Szenario zum Abgreifen von Passwörtern.

Nutzer gehen mit der Kontaktefreigabe unter iOS zu unvorsichtig um – und Apple tut aktuell nichts dagegen. Vor dieser Problematik hat nun der Entwickler und Sicherheitsforscher Jordan Smith gewanrt. Apps, denen Nutzer auf iPhone und iPad Zugriff auf ihrem Adressbuch erteilen, könnten Kontakte nämlich sowohl lesen als auch schreiben – und so, zumindest theoretisch, clevere (Spear-)Phishing-Angriffe fahren. Ein konkretes Szenario beschrieb Smith in seinem Blog.

Um die Attacke durchzuführen, benötigt der Angreifer – in diesem Fall der Entwickler einer App mit böswilligen Motiven – sowohl die Mobilfunknummer des Nutzers (oder dessen iMessage-Anschrift) als auch Zugriff auf die Kontakte. Ersteres könnte etwa im Rahmen einer Zweifaktorauthentifizierung abgefragt werden, zweiteres lassen sich Kalender-, E-Mail- oder Kontakte-Apps routinemäßig geben – Nutzer sind (leider) gewohnt, solche Freigaben zu erteilen.

Quelle: Entwickler warnt vor iOS-Angriffen über Kontakt-Berechtigungen | Mac & i