在聽到白帽彙的安全從業人員提供線索,說 iphone的分享機制再次被利用, icloud相冊被黑産人員用于廣告營銷後,雷鋒網編輯匆匆趕到白帽彙來一探究竟。
原來,最近白帽彙童鞋的iphone手機又在使用過程中被人發送相冊分享邀請,發現是垃圾資訊推廣,而通過這個推廣管道,大多數iphone使用者都能收到,因為這些選項都是預設開啟的。如下圖所示:
然後,可以看到,有一個推廣資訊。
這個推廣資訊究竟是怎麼來的?白帽彙的童鞋為雷鋒網示範了廣告資訊如何通過icloud相冊推廣的流程:
首先,打開相冊—共享—開始共享
然後就會需要輸入标題内容,一般賭博網站的話就會寫: xxx娛樂城xxx.com來就送xx元
不能寫别的嗎?比如,附上釣魚網址的詐騙資訊,白帽彙告訴雷鋒網:
目前不行,基本靠文字推送,也不能發圖檔,網址就算加進去也打不開。
輸入icloud綁定的郵箱,點選建立,就能收到推廣的資訊了。
比較惱火的一點是,推送方和接收方無需是好友關系,隻要知道對方 id ,就可以進行推送,而且,此次白帽彙發現,這些 id 賬号基本都是 qq 郵箱。
目前,出現的推廣資訊大部分是電商推廣資訊。白帽彙已将這個發現送出給 apple 公司,就如同此前發現 imessage 和 ios 月曆也被用來發推廣資訊一樣,然而并沒有什麼卵用,apple 公司依舊十分高冷,沒有搭理。
為什麼 apple 公司不禁用此項功能?白帽彙告訴雷鋒網(公衆号:雷鋒網):
這項功能其實并不是什麼漏洞,是 iphone 的正常功能。但是,一項特殊的中國國情是,中國有很多人用 qq 郵箱作為 apple 産品的id,是以黑産人員通過撞庫等,很容易知道一個qq郵箱是否為apple id,進而以上述方式進行精準營銷和推廣。國外 apple 使用者的id 一般用其他郵箱注冊,是以也沒發生大量這樣的事件。
但是,讓白帽彙的安全人員十分沖突的是,不知道該不該把這件事情披露出來。
在今年8月,黑産大規模通過 ios 月曆發送賭博推廣資訊及釣魚資訊後,白帽彙第一時間推送了報告,結果發現有人馬上在黑産群中求相關軟體。
會不會助長此類事件發生?白帽彙的童鞋内心也很忐忑。
可以知道的是,現在在市面上暫未發現與icloud相冊推廣相關的軟體。但是,已經有人提出需求,估計成品軟體也快了。
白帽彙提出了防範措施:
設定—icloud—照片—icloud照片共享,關閉。
由于後續垃圾資訊擴散至 ios 月曆和icloud 相冊,白帽彙再次向雷鋒網強調:
希望apple 公司能在這三個應用的分享機制上,隻允許好友間互相推送。至于,是通訊錄好友,還是微信、qq等社交應用好友,還需要看apple 公司是否能采納建議并制定相關規定。
回顧
1.月曆推廣
白帽彙提出的防範措施:
我們建議使用者在收到此類垃圾資訊時,切勿點選任何連結,同時也不要理會。此類邀請資訊底部一般有系統提供的三個選項,即“接受”、“可能”和“拒絕”。不論使用者點選了哪個選項,發送者端都會顯示回複者的真實姓名,直接造成使用者敏感資訊的洩漏。在擁有使用者郵件位址和真實姓名後,不排除發送者會有進一步的釣魚攻擊等詐騙行為。 如果希望避免收到此類邀請,則可在 ios 的設定中進入“郵件、通訊錄、月曆”選項,找到并關閉其中的 “郵件中找到的事件”選項;
2. imessage 推廣
imessage 是蘋果裝置自帶的免費資訊發送應用。它的資訊通過網絡發送,不同于營運商短信。與傳統短信相比,imessage 具有以下優勢:
目标人群明确,均為蘋果使用者,消費能力較強;文字數量不限,可以添加表情和圖檔;可以添加網址、下載下傳連結等,使用者可以直接通過手機通路;不會被手機安全應用攔截;轉發友善;幾無發送成本;終端送達率極高。