手机骚扰升级，iPhone相册沦陷，小广告满天飞

原来，最近白帽汇童鞋的iPhone手机又在使用过程中被人发送相册分享邀请，发现是垃圾信息推广，而通过这个推广渠道，大多数iPhone用户都能收到，因为这些选项都是默认开启的。如下图所示：

然后，可以看到，有一个推广信息。

新招：iCloud相册分享用于推广

这个推广信息究竟是怎么来的？白帽汇的童鞋为雷锋网演示了广告信息如何通过iCloud相册推广的流程：

 首先，打开相册—共享—开始共享

然后就会需要输入标题内容，一般赌博网站的话就会写:  xxx娱乐城xxx.com来就送xx元

不能写别的吗？比如，附上钓鱼网址的诈骗信息，白帽汇告诉雷锋网：

目前不行，基本靠文字推送，也不能发图片，网址就算加进去也打不开。

输入iCloud绑定的邮箱，点击创建，就能收到推广的信息了。

比较恼火的一点是，推送方和接收方无需是好友关系，只要知道对方 ID ，就可以进行推送，而且，此次白帽汇发现，这些 ID 账号基本都是 QQ 邮箱。

目前，出现的推广信息大部分是电商推广信息。白帽汇已将这个发现提交给 Apple 公司，就如同此前发现 iMessage 和 iOS 日历也被用来发推广信息一样，然而并没有什么卵用，Apple 公司依旧十分高冷，没有搭理。

为什么 Apple 公司不禁用此项功能？白帽汇告诉雷锋网(公众号：雷锋网)：

这项功能其实并不是什么漏洞，是 iPhone 的正常功能。但是，一项特殊的中国国情是，中国有很多人用  QQ 邮箱作为 Apple 产品的ID，因此黑产人员通过撞库等，很容易知道一个QQ邮箱是否为Apple ID，从而以上述方式进行精准营销和推广。国外 Apple 用户的ID 一般用其他邮箱注册，所以也没发生大量这样的事件。

但是，让白帽汇的安全人员十分矛盾的是，不知道该不该把这件事情披露出来。

在今年8月，黑产大规模通过 iOS 日历发送赌博推广信息及钓鱼信息后，白帽汇第一时间推送了报告，结果发现有人马上在黑产群中求相关软件。

会不会助长此类事件发生？白帽汇的童鞋内心也很忐忑。

可以知道的是，现在在市面上暂未发现与iCloud相册推广相关的软件。但是，已经有人提出需求，估计成品软件也快了。

白帽汇提出了防范措施：

设置—iCloud—照片—iCloud照片共享，关闭。

由于后续垃圾信息扩散至 iOS 日历和iCloud 相册，白帽汇再次向雷锋网强调：

希望Apple 公司能在这三个应用的分享机制上，只允许好友间互相推送。至于，是通讯录好友，还是微信、QQ等社交应用好友，还需要看Apple 公司是否能采纳建议并制定相关规定。

回顾

1.日历推广

8月，白帽汇安全团队紧急监测评估，iPhone 手机的系统自带的日历功能正常情况下一般用于向朋友、同事或家人发出活动或会议邀请，使用起来方便快捷。但某些不良居心的人针对此项功能打起了歪主意——发垃圾信息。详见：钓鱼新手段：iPhone 收到日历邀请却显示垃圾信息？

白帽汇提出的防范措施：

我们建议用户在收到此类垃圾信息时，切勿点击任何链接，同时也不要理会。此类邀请信息底部一般有系统提供的三个选项，即“接受”、“可能”和“拒绝”。不论用户点击了哪个选项，发送者端都会显示回复者的真实姓名，直接造成用户敏感信息的泄漏。在拥有用户邮件地址和真实姓名后，不排除发送者会有进一步的钓鱼攻击等诈骗行为。

如果希望避免收到此类邀请，则可在 iOS 的设置中进入“邮件、通讯录、日历”选项，找到并关闭其中的 “邮件中找到的事件”选项；

2. iMessage 推广

iMessage 是苹果设备自带的免费信息发送应用。它的信息通过网络发送，不同于运营商短信。与传统短信相比，iMessage 具有以下优势：

目标人群明确，均为苹果用户，消费能力较强；文字数量不限，可以添加表情和图片；可以添加网址、下载链接等，用户可以直接通过手机访问；不会被手机安全应用拦截；转发方便；几无发送成本；终端送达率极高。