首先需要說明的是,這種廣告以及垃圾信息推廣模式與蘋果官方沒有任何關系,蘋果iOS當中存在該功能只是為方面需要即時進行備忘錄提醒的用戶,不過廣告商卻以這種模式卻讓不少iPhone用戶中招。
具體表現上,用戶在正常使用過程當中手機突然就會彈出一條信息,上面大概的內容是xx娛樂城的營銷信息。大多數人在遇到這種情況時的第一反應估計是:我的手機是不是被別人控制了?實則不然,即使用戶的手機和相關帳號都是正常且安全的,也有可能出現此類現象。
據著名安全大數據網站白帽匯分析,目前該方法暫時僅出現在iOS平台中,並有可能進一步由垃圾信息群發渠道演變至釣魚攻擊新手段。
事件起因
正常使用中的手機突然彈出來一條邀請信息,上面大概的內容是xx娛樂城的營銷信息。大多數人在遇到這種情況時的第一反應估計是:我的手機是不是被別人控制了!?實則不然,即使用戶的手機和相關帳號都是正常且安全的,也有可能出現此類現象。
就在前不久,身邊同事的iPhone手機在正常使用過程中便突然彈出來這樣一條信息,上面大概的內容是xx娛樂城、網址xxx.com等等。接下來,筆者的安全團隊便對其進行了一番研究。據了解,彈出這條信息的其實是這部iPhone手機系統自帶的日歷功能,正常情況下一般用於向朋友、同事或家人發出活動或會議邀請,使用起來方便快捷。讓人佩服的是,目前這個功能也被懷有不良居心的人打起了歪主意。
通過安全團隊的研究發現,如果用戶將iPhone系統日歷與iCloud日歷進行同步,便有可能會在iPhone中收到提示並且顯示由不法分子預設的垃圾信息。而這種方式由於並不經過郵件系統,導致我們的垃圾郵件防御機制無法起到作用。
從目前用戶提交的相關案例中可以看到,發送者首先會去獲取一批郵箱地址,之後將其視為被邀請者的iCloud帳號去隨機發送邀請。邀請信息中包括相關文字和鏈接。此類內容被邀請者收到後可直接打開,並不會出發任何攔截提示。
目前我們根據該方式進行了一個小范圍的測試,發現其主要影響如下:
1、平均約有5%左右的信息接收者會去點擊邀請中包含的鏈接。該方式可被用來做釣魚攻擊,且效果也是很可觀的;
2、 在接收到的消息中,選擇拒絕和接收之後,在發送人那裡會顯示出你的真實姓名。利用該方式,發送人可進行進一步的詐騙等操作;
3、多次重復發送也還會導致不斷收到系統提醒等惡意攻擊。而且沒有任何限制;
4、消息接收過多,可占滿日歷。影響正常的日歷使用;
5、經測試,谷歌的Gmail和微軟的Outlook郵箱日歷功能也能夠向iOS日歷發送相關邀請;
6、在使用了同一個帳戶登錄的已聯網蘋果設備中,都會出現一樣的消息,例如iPad,MacBook等設備;
當前,網絡上可搜索到此事件最早的記錄為今年6月初,至7月底8月初時逐漸增長至集中爆發態勢。
若在搜索引擎中搜索“蘋果日歷廣告”關鍵詞,其搜索結果前面數條均是由不同網友反應遇到此類事件:
在微博中搜索到的案例如下:日期顯示為7月的14日,該方法目前也沒有得到任何的修復錯誤:
對用戶的建議
目前我們還是建議用戶在收到此類垃圾信息時,切勿點擊任何鏈接,同時也不要理會。此類邀請信息底部一般有系統提供的三個選項,即“接受”、“可能”和“拒絕”。不論用戶點擊了哪個選項,發送者端都會顯示回復者的真實姓名,直接造成用戶敏感信息的洩漏。在擁有用戶郵件地址和真實姓名後,不排除發送者會有進一步的釣魚攻擊等詐騙行為。
如果希望避免收到此類邀請,則可在iOS的設置中進入“郵件、通訊錄、日歷”選項,找到並關閉其中的“郵件中找到的事件”選項;
解決方案
白帽匯技術團隊目前已經通過相關渠道嘗試與蘋果嘗試進行溝通,並給出了相關防護建議,即對日歷的邀請內容加入垃圾信息過濾處理,防止被惡意利用。