【干货】iOS 11 短信拦截功能初探

简介: 自古以来iOS上的短信对各个app都是禁区,没有一个app能够获取用户短信的内容,这一现状将在iOS 11终结,在iOS 11 beta 1出来以后,我们发现新增了SMS fraud extension(恶意短信拦截插件),该插件在经过用户的授权后可以用于拦截用户的恶意短信。

文/图 钱盾反诈平台 刀勒

自古以来iOS上的短信对各个app都是禁区,没有一个app能够获取用户短信的内容,这一现状将在iOS 11终结,在iOS 11 beta 1出来以后,我们发现新增了SMS fraud extension(恶意短信拦截插件),该插件在经过用户的授权后可以用于拦截用户的恶意短信。为了更好地保护老百姓的资金安全,钱盾反诈平台第一时间对这个功能做了分析。

效果演示:
01

效果说明:
• 开启路径还是比较长:通用->信息->未知与垃圾信息
• 被过滤的短信不是删掉,而是归类于“过滤短信”这个分类里
• 打开被过滤的短信内容,里面有短信过滤插件的品牌展示
• iMessage不能被过滤
• 只有当短信的发送方不在联系人列表里的时候信息app才会把信息相关内容发给SMS fraud extension
• 如果用户安装了多个SMS fraud extension插件,同一时间只能enable一个
• SMS fraud extension可以获取到的内容包括短信发送方和短信内容,不包含收件人手机号

实现机制:
02

  1. 信息app(用户)收到一条SMS或者MMS
  2. 信息app将短信的发送号码和短信内容发给SMS fraud extension进行检测
  3. SMS fraud extension可以使用本地数据进行离线检测,也可以线上实时检测。如果实时检测的话,由于SMS fraud extension没有网络请求的权限,只能委托信息app将短信相关内容发往SMS fraud extension对应的后台server。
  4. SMS fraud extension后台server检测短信的安全性并将结果返回给信息app
  5. 信息app将服务器结果转发回SMS fraud extension
  6. SMS fraud extension解析服务器返回内容,确定短信安全性,将action返回信息app
  7. 信息app根据SMS fraud extension返回的action来决定放行或过滤该信息

隐私保护:

结合苹果的文档来看,SMS fraud extension可以拿到短信内容,当传到服务器之后服务器也拿到了短信内容,但是苹果通过以下几个限制保证了该短信内容无法跟用户对应起来:

• SMS fraud extension写入的本地存储不能与containing app共享,也就是说containing app无法拿到短信相关内容并上传或分析。
• SMS fraud extension本身不可以发起网络请求,与服务端的唯一交互必须委托信息app来完成,信息app在发起请求的时候不会携带任何用户和机器相关的信息。服务端拿到的唯一用户环境相关信息只有IP,而单靠IP是无法跟用户对应起来的。
• 信息app发起请求时访问的URL要求必须配置是存放在SMS fraud extension的info.plist里,这就保证了SMS fraud extension和containing app都不能动态地修改该URL,不能通过给每一个用户配一个特殊的URL的方式来跟踪用户。

结论:

从苹果采取的隐私保护机制来看,SMS fraud extension和其后端对应的服务器可以获取到用户的短信发送方及短信内容,但是以目前的实现机制来看无法将短信内容对应到具体的用户,所以是相对安全。

参考文档:

  1. https://developer.apple.com/documentation/identitylookup?changes=latest_minor
  2. https://developer.apple.com/videos/play/wwdc2017/249/
目录
相关文章
|
7月前
|
存储 数据建模 iOS开发
iOS设备功能和框架: 什么是 Core Data,它在 iOS 中的作用是什么?
iOS设备功能和框架: 什么是 Core Data,它在 iOS 中的作用是什么?
102 1
|
7月前
|
定位技术 iOS开发
iOS设备功能和框架: 如何使用 Core Location 获取设备的位置信息?
iOS设备功能和框架: 如何使用 Core Location 获取设备的位置信息?
75 0
|
2月前
|
安全 Android开发 iOS开发
Android vs iOS:探索移动操作系统的设计与功能差异###
【10月更文挑战第20天】 本文深入分析了Android和iOS两个主流移动操作系统在设计哲学、用户体验、技术架构等方面的显著差异。通过对比,揭示了这两种系统各自的独特优势与局限性,并探讨了它们如何塑造了我们的数字生活方式。无论你是开发者还是普通用户,理解这些差异都有助于更好地选择和使用你的移动设备。 ###
51 3
|
5月前
|
人工智能 搜索推荐 iOS开发
苹果发布iOS 18 Beta 4,新增CarPlay 壁纸等多项功能改进
本文首发于公众号“AntDream”,探索iOS 18 Beta 4新功能与改进: CarPlay壁纸、iCloud设置访问优化、相机控制记忆、隐藏文件夹设计变更、深色/浅色模式图标同步、股票应用图标调整、iPhone镜像功能增强、控制中心蓝牙切换键、AssistiveTouch新增Type to Siri等,以及Apple Intelligence暗示。开发者可通过苹果计划提前体验。
104 12
|
7月前
|
Android开发 数据安全/隐私保护 iOS开发
ios和安卓测试包发布网站http://fir.im的注册与常用功能
ios和安卓测试包发布网站http://fir.im的注册与常用功能
297 0
ios和安卓测试包发布网站http://fir.im的注册与常用功能
|
7月前
|
机器学习/深度学习 PyTorch TensorFlow
iOS设备功能和框架: 什么是 Core ML?如何在应用中集成机器学习模型?
iOS设备功能和框架: 什么是 Core ML?如何在应用中集成机器学习模型?
185 0
|
7月前
|
iOS开发
iOS设备功能和框架: 如何使用 Core Animation 创建动画效果?
iOS设备功能和框架: 如何使用 Core Animation 创建动画效果?
138 0
|
iOS开发
IOS中调用系统拨打电话与发送短信
IOS中调用系统拨打电话与发送短信
158 0
|
10天前
|
开发框架 前端开发 Android开发
安卓与iOS开发中的跨平台策略
在移动应用开发的战场上,安卓和iOS两大阵营各据一方。随着技术的演进,跨平台开发框架成为开发者的新宠,旨在实现一次编码、多平台部署的梦想。本文将探讨跨平台开发的优势与挑战,并分享实用的开发技巧,帮助开发者在安卓和iOS的世界中游刃有余。