安全從業人員提供線索,說iPhone的分享機制再次被利用,iCloud相冊被黑產人員用於廣告營銷後,雷鋒網編輯匆匆趕到白帽匯來一探究竟。原來,最近白帽匯童鞋的iPhone手機又在使用過程中被人發送相冊分享邀請,發現是垃圾信息推廣,而通過這個推廣渠道,大多數iPhone用戶都能收到,因為這些選項都是默認開啟的。如下圖所示:
然後,可以看到,有一個推廣信息。
新招:iCloud相冊分享用於推廣
這個推廣信息究竟是怎麼來的?白帽匯的童鞋為雷鋒網演示了廣告信息如何通過iCloud相冊推廣的流程:
首先,打開相冊—共享—開始共享
然後就會需要輸入標題內容,一般賭博網站的話就會寫:xxx娛樂城xxx.com來就送xx元
不能寫別的嗎?比如,附上釣魚網址的詐騙信息,白帽匯告訴雷鋒網:目前不行,基本靠文字推送,也不能發圖片,網址就算加進去也打不開。
輸入iCloud綁定的郵箱,點擊創建,就能收到推廣的信息了。
比較惱火的一點是,推送方和接收方無需是好友關系,只要知道對方ID,就可以進行推送,而且,此次白帽匯發現,這些ID賬號基本都是QQ郵箱。
目前,出現的推廣信息大部分是電商推廣信息。白帽匯已將這個發現提交給Apple公司,就如同此前發現iMessage和iOS日歷也被用來發推廣信息一樣,然而並沒有什麼卵用,Apple公司依舊十分高冷,沒有搭理。
為什麼Apple公司不禁用此項功能?白帽匯告訴雷鋒網:這項功能其實並不是什麼漏洞,是iPhone的正常功能。但是,一項特殊的中國國情是,中國有很多人用QQ郵箱作為Apple產品的ID,因此黑產人員通過撞庫等,很容易知道一個QQ郵箱是否為Apple ID,從而以上述方式進行精准營銷和推廣。國外Apple用戶的ID一般用其他郵箱注冊,所以也沒發生大量這樣的事件。
但是,讓白帽匯的安全人員十分矛盾的是,不知道該不該把這件事情披露出來。
在今年8月,黑產大規模通過iOS日歷發送賭博推廣信息及釣魚信息後,白帽匯第一時間推送了報告,結果發現有人馬上在黑產群中求相關軟件。
會不會助長此類事件發生?白帽匯的童鞋內心也很忐忑。
可以知道的是,現在在市面上暫未發現與iCloud相冊推廣相關的軟件。但是,已經有人提出需求,估計成品軟件也快了。
白帽匯提出了防范措施:設置—iCloud—照片—iCloud照片共享,關閉。
由於後續垃圾信息擴散至iOS日歷和iCloud相冊,白帽匯再次向雷鋒網強調:希望Apple公司能在這三個應用的分享機制上,只允許好友間互相推送。至於,是通訊錄好友,還是微信、QQ等社交應用好友,還需要看Apple公司是否能采納建議並制定相關規定。
回顧
1.日歷推廣
8月,白帽匯安全團隊緊急監測評估,iPhone手機的系統自帶的日歷功能正常情況下一般用於向朋友、同事或家人發出活動或會議邀請,使用起來方便快捷。但某些不良居心的人針對此項功能打起了歪主意——發垃圾信息。詳見:釣魚新手段:iPhone收到日歷邀請卻顯示垃圾信息?
白帽匯提出的防范措施:我們建議用戶在收到此類垃圾信息時,切勿點擊任何鏈接,同時也不要理會。此類邀請信息底部一般有系統提供的三個選項,即“接受”、“可能”和“拒絕”。不論用戶點擊了哪個選項,發送者端都會顯示回復者的真實姓名,直接造成用戶敏感信息的洩漏。在擁有用戶郵件地址和真實姓名後,不排除發送者會有進一步的釣魚攻擊等詐騙行為。
如果希望避免收到此類邀請,則可在iOS的設置中進入“郵件、通訊錄、日歷”選項,找到並關閉其中的“郵件中找到的事件”選項;
2.iMessage推廣
iMessage是蘋果設備自帶的免費信息發送應用。它的信息通過網絡發送,不同於運營商短信。與傳統短信相比,iMessage具有以下優勢:目標人群明確,均為蘋果用戶,消費能力較強;文字數量不限,可以添加表情和圖片;可以添加網址、下載鏈接等,用戶可以直接通過手機訪問;不會被手機安全應用攔截;轉發方便;幾無發送成本;終端送達率極高。
iMessage通過AppleID來發現用戶和發送信息。
營銷機構獲得這些用戶帳號的途徑主要有兩個:一是某些App會讀取並私下記錄用戶的AppleID然後將其打包販賣;另一種是通過特定程序對使用中的蘋果設備進行掃描,以獲取那些已經激活的iMessage賬戶信息,甚至手機號碼。