手机骚扰升级,iPhone相册沦陷,小广告满天飞-阿里云开发者社区

开发者社区> boxti> 正文

手机骚扰升级,iPhone相册沦陷,小广告满天飞

简介:
+关注继续查看
   
  在听到白帽汇的安全从业人员提供线索,说 iPhone的分享机制再次被利用, iCloud相册被黑产人员用于广告营销后,雷锋网编辑匆匆赶到白帽汇来一探究竟。

原来,最近白帽汇童鞋的iPhone手机又在使用过程中被人发送相册分享邀请,发现是垃圾信息推广,而通过这个推广渠道,大多数iPhone用户都能收到,因为这些选项都是默认开启的。如下图所示:

手机骚扰升级,iPhone相册沦陷,小广告满天飞

然后,可以看到,有一个推广信息。

手机骚扰升级,iPhone相册沦陷,小广告满天飞


新招:iCloud相册分享用于推广

这个推广信息究竟是怎么来的?白帽汇的童鞋为雷锋网演示了广告信息如何通过iCloud相册推广的流程:

 首先,打开相册—共享—开始共享

手机骚扰升级,iPhone相册沦陷,小广告满天飞

然后就会需要输入标题内容,一般赌博网站的话就会写:  xxx娱乐城xxx.com来就送xx元

手机骚扰升级,iPhone相册沦陷,小广告满天飞


不能写别的吗?比如,附上钓鱼网址的诈骗信息,白帽汇告诉雷锋网:

目前不行,基本靠文字推送,也不能发图片,网址就算加进去也打不开。

输入iCloud绑定的邮箱,点击创建,就能收到推广的信息了。

手机骚扰升级,iPhone相册沦陷,小广告满天飞 

比较恼火的一点是,推送方和接收方无需是好友关系,只要知道对方 ID ,就可以进行推送,而且,此次白帽汇发现,这些 ID 账号基本都是 QQ 邮箱。

目前,出现的推广信息大部分是电商推广信息。白帽汇已将这个发现提交给 Apple 公司,就如同此前发现 iMessage 和 iOS 日历也被用来发推广信息一样,然而并没有什么卵用,Apple 公司依旧十分高冷,没有搭理。

手机骚扰升级,iPhone相册沦陷,小广告满天飞

为什么 Apple 公司不禁用此项功能?白帽汇告诉雷锋网(公众号:雷锋网)

这项功能其实并不是什么漏洞,是 iPhone 的正常功能。但是,一项特殊的中国国情是,中国有很多人用  QQ 邮箱作为 Apple 产品的ID,因此黑产人员通过撞库等,很容易知道一个QQ邮箱是否为Apple ID,从而以上述方式进行精准营销和推广。国外 Apple 用户的ID 一般用其他邮箱注册,所以也没发生大量这样的事件。

但是,让白帽汇的安全人员十分矛盾的是,不知道该不该把这件事情披露出来。

在今年8月,黑产大规模通过 iOS 日历发送赌博推广信息及钓鱼信息后,白帽汇第一时间推送了报告,结果发现有人马上在黑产群中求相关软件。

会不会助长此类事件发生?白帽汇的童鞋内心也很忐忑。

手机骚扰升级,iPhone相册沦陷,小广告满天飞

可以知道的是,现在在市面上暂未发现与iCloud相册推广相关的软件。但是,已经有人提出需求,估计成品软件也快了。

手机骚扰升级,iPhone相册沦陷,小广告满天飞

白帽汇提出了防范措施:

设置—iCloud—照片—iCloud照片共享,关闭。

手机骚扰升级,iPhone相册沦陷,小广告满天飞

由于后续垃圾信息扩散至 iOS 日历和iCloud 相册,白帽汇再次向雷锋网强调:

希望Apple 公司能在这三个应用的分享机制上,只允许好友间互相推送。至于,是通讯录好友,还是微信、QQ等社交应用好友,还需要看Apple 公司是否能采纳建议并制定相关规定。

回顾

1.日历推广

8月,白帽汇安全团队紧急监测评估,iPhone 手机的系统自带的日历功能正常情况下一般用于向朋友、同事或家人发出活动或会议邀请,使用起来方便快捷。但某些不良居心的人针对此项功能打起了歪主意——发垃圾信息。详见:钓鱼新手段:iPhone 收到日历邀请却显示垃圾信息?

白帽汇提出的防范措施:

我们建议用户在收到此类垃圾信息时,切勿点击任何链接,同时也不要理会。此类邀请信息底部一般有系统提供的三个选项,即“接受”、“可能”和“拒绝”。不论用户点击了哪个选项,发送者端都会显示回复者的真实姓名,直接造成用户敏感信息的泄漏。在拥有用户邮件地址和真实姓名后,不排除发送者会有进一步的钓鱼攻击等诈骗行为。


如果希望避免收到此类邀请,则可在 iOS 的设置中进入“邮件、通讯录、日历”选项,找到并关闭其中的 “邮件中找到的事件”选项;

2. iMessage 推广

iMessage 是苹果设备自带的免费信息发送应用。它的信息通过网络发送,不同于运营商短信。与传统短信相比,iMessage 具有以下优势:

目标人群明确,均为苹果用户,消费能力较强;文字数量不限,可以添加表情和图片;可以添加网址、下载链接等,用户可以直接通过手机访问;不会被手机安全应用拦截;转发方便;几无发送成本;终端送达率极高。

  本文作者:李勤

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9497 0
伊对联手机器学习PAI 让云技术赋能恋爱社交行业升级
伊对正在与阿里开展更为深入的合作,将阿里云机器学习PAI平台应用到更多视频恋爱社交业务和场景中,实现其在交互体验上的突破价值,引领恋爱社交行业增长的第二曲线
775 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13186 0
国内手机月销量排名出炉,Vivo位列第一
华为以600万台的销量,紧跟其后。
395 0
与众不同 windows phone (28) - Feature(特性)之手机方向, 本地化, 应用程序的试用体验, 系统主题资源, 本地数据的加密解密
原文:与众不同 windows phone (28) - Feature(特性)之手机方向, 本地化, 应用程序的试用体验, 系统主题资源, 本地数据的加密解密 [索引页][源码下载] 与众不同 windows phone (28) - Feature(特性)之手机方向, 本地化, 应用程序的试用...
653 0
怎样把iPhone7手机的备忘录备份到iPhoneX?
王羽前段时间出差,下火车的时候他心爱的iPhone7不小心被小偷偷走了,很是气愤! 手机肯定是找不回来了,我只好安慰他旧的不去新的不来,看开点。
1315 0
+关注
boxti
12535
10037
文章
1327
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载