【干货】iOS 11 短信拦截功能初探

简介: 自古以来iOS上的短信对各个app都是禁区,没有一个app能够获取用户短信的内容,这一现状将在iOS 11终结,在iOS 11 beta 1出来以后,我们发现新增了SMS fraud extension(恶意短信拦截插件),该插件在经过用户的授权后可以用于拦截用户的恶意短信。

文/图 钱盾反诈平台 刀勒

自古以来iOS上的短信对各个app都是禁区,没有一个app能够获取用户短信的内容,这一现状将在iOS 11终结,在iOS 11 beta 1出来以后,我们发现新增了SMS fraud extension(恶意短信拦截插件),该插件在经过用户的授权后可以用于拦截用户的恶意短信。为了更好地保护老百姓的资金安全,钱盾反诈平台第一时间对这个功能做了分析。

效果演示:
01

效果说明:
• 开启路径还是比较长:通用->信息->未知与垃圾信息
• 被过滤的短信不是删掉,而是归类于“过滤短信”这个分类里
• 打开被过滤的短信内容,里面有短信过滤插件的品牌展示
• iMessage不能被过滤
• 只有当短信的发送方不在联系人列表里的时候信息app才会把信息相关内容发给SMS fraud extension
• 如果用户安装了多个SMS fraud extension插件,同一时间只能enable一个
• SMS fraud extension可以获取到的内容包括短信发送方和短信内容,不包含收件人手机号

实现机制:
02

  1. 信息app(用户)收到一条SMS或者MMS
  2. 信息app将短信的发送号码和短信内容发给SMS fraud extension进行检测
  3. SMS fraud extension可以使用本地数据进行离线检测,也可以线上实时检测。如果实时检测的话,由于SMS fraud extension没有网络请求的权限,只能委托信息app将短信相关内容发往SMS fraud extension对应的后台server。
  4. SMS fraud extension后台server检测短信的安全性并将结果返回给信息app
  5. 信息app将服务器结果转发回SMS fraud extension
  6. SMS fraud extension解析服务器返回内容,确定短信安全性,将action返回信息app
  7. 信息app根据SMS fraud extension返回的action来决定放行或过滤该信息

隐私保护:

结合苹果的文档来看,SMS fraud extension可以拿到短信内容,当传到服务器之后服务器也拿到了短信内容,但是苹果通过以下几个限制保证了该短信内容无法跟用户对应起来:

• SMS fraud extension写入的本地存储不能与containing app共享,也就是说containing app无法拿到短信相关内容并上传或分析。
• SMS fraud extension本身不可以发起网络请求,与服务端的唯一交互必须委托信息app来完成,信息app在发起请求的时候不会携带任何用户和机器相关的信息。服务端拿到的唯一用户环境相关信息只有IP,而单靠IP是无法跟用户对应起来的。
• 信息app发起请求时访问的URL要求必须配置是存放在SMS fraud extension的info.plist里,这就保证了SMS fraud extension和containing app都不能动态地修改该URL,不能通过给每一个用户配一个特殊的URL的方式来跟踪用户。

结论:

从苹果采取的隐私保护机制来看,SMS fraud extension和其后端对应的服务器可以获取到用户的短信发送方及短信内容,但是以目前的实现机制来看无法将短信内容对应到具体的用户,所以是相对安全。

参考文档:

  1. https://developer.apple.com/documentation/identitylookup?changes=latest_minor
  2. https://developer.apple.com/videos/play/wwdc2017/249/
目录
相关文章
|
5天前
|
Android开发 数据安全/隐私保护 iOS开发
ios和安卓测试包发布网站http://fir.im的注册与常用功能
ios和安卓测试包发布网站http://fir.im的注册与常用功能
10 0
ios和安卓测试包发布网站http://fir.im的注册与常用功能
|
14天前
|
机器学习/深度学习 PyTorch TensorFlow
iOS设备功能和框架: 什么是 Core ML?如何在应用中集成机器学习模型?
iOS设备功能和框架: 什么是 Core ML?如何在应用中集成机器学习模型?
44 0
|
14天前
|
iOS开发
iOS设备功能和框架: 如何使用 Core Animation 创建动画效果?
iOS设备功能和框架: 如何使用 Core Animation 创建动画效果?
105 0
|
14天前
|
存储 数据建模 iOS开发
iOS设备功能和框架: 什么是 Core Data,它在 iOS 中的作用是什么?
iOS设备功能和框架: 什么是 Core Data,它在 iOS 中的作用是什么?
41 1
|
14天前
|
定位技术 iOS开发
iOS设备功能和框架: 如何使用 Core Location 获取设备的位置信息?
iOS设备功能和框架: 如何使用 Core Location 获取设备的位置信息?
26 0
|
8月前
|
移动开发 安全 前端开发
提升iOS应用安全性:全面代码混淆功能介绍,使用Ipa Guard保护你的应用
iOS加固保护是直接针对ios ipa二进制文件的保护技术,可以对iOS APP中的可执行文件进行深度混淆、加密。使用任何工具都无法逆向、破解还原源文件。对APP进行完整性保护,防止应用程序中的代码及资源文件被恶意篡改。Ipa Guard通过修改 ipa 文件中的 macho 文件中二进制数据(代码模块配置)进行操作,无需源码。不限定开发技术平台。支持oc,swift,cocos2d-x、unity3d、quick-cocos,html5 ,react native等等各种开发技术。Ipa Guard主要包含代码混淆全面、资源文件处理、不需要源代码更安全、调试信息清理、即时测试运行。
|
9月前
|
监控 Android开发 iOS开发
盘点一对一直播源码iOS系统维持平台稳定功能(一):弹性扩缩容
参考代码:弹性扩缩容如何实现?System.out.println("扩容:增加直播平台实例"); currentCapacity++; } private void scaleDown() { System.out.println("缩容:减少直播平台实例");
盘点一对一直播源码iOS系统维持平台稳定功能(一):弹性扩缩容
|
iOS开发
IOS中调用系统拨打电话与发送短信
IOS中调用系统拨打电话与发送短信
146 0
|
1天前
|
Java Android开发 Swift
揭秘安卓与iOS开发的核心差异
本文深入探讨了安卓与iOS这两大移动操作系统在应用开发过程中的关键不同点。我们将从编程语言、用户界面设计、应用市场政策、硬件集成以及开发者支持等多个维度展开比较,为开发者提供一个清晰的框架,帮助他们根据项目需求和目标受众选择最合适的平台。