683      人物

手機騷擾升級，iPhone相冊淪陷，小廣告滿天飛

在聽到白帽匯的安全從業人員提供線索，說 iPhone的分享機製再次被利用， iCloud相冊被黑產人員用於廣告營銷後，編輯匆匆趕到白帽匯來一探究竟。

原來，最近白帽匯童鞋的iPhone手機又在使用過程中被人發送相冊分享邀請，發現是垃圾信息推廣，而通過這個推廣渠道，大多數iPhone用戶都能收到，因為這些選項都是默認開啟的。如下圖所示：

然後，可以看到，有一個推廣信息。

新招：iCloud相冊分享用於推廣

這個推廣信息究竟是怎麼來的？白帽匯的童鞋為雷鋒網演示了廣告信息如何通過iCloud相冊推廣的流程：

首先，打開相冊—共享—開始共享

然後就會需要輸入標題內容，一般賭博網站的話就會寫: xxx娛樂城xxx.com來就送xx元

不能寫別的嗎？比如，附上釣魚網址的詐騙信息，白帽匯告訴雷鋒網：

目前不行，基本靠文字推送，也不能發圖片，網址就算加進去也打不開。

輸入iCloud綁定的郵箱，點擊創建，就能收到推廣的信息了。

比較惱火的一點是，推送方和接收方無需是好友關係，隻要知道對方 ID ，就可以進行推送，而且，此次白帽匯發現，這些 ID 賬號基本都是 QQ 郵箱。

目前，出現的推廣信息大部分是電商推廣信息。白帽匯已將這個發現提交給 Apple 公司，就如同此前發現 iMessage 和 iOS 日曆也被用來發推廣信息一樣，然而並沒有什麼卵用，Apple 公司依舊十分高冷，沒有搭理。

為什麼 Apple 公司不禁用此項功能？白帽匯告訴雷鋒網：

這項功能其實並不是什麼漏洞，是 iPhone 的正常功能。但是，一項特殊的中國國情是，中國有很多人用 QQ 郵箱作為 Apple 產品的ID，因此黑產人員通過撞庫等，很容易知道一個QQ郵箱是否為Apple ID，從而以上述方式進行精準營銷和推廣。國外 Apple 用戶的ID 一般用其他郵箱注冊，所以也沒發生大量這樣的事件。

但是，讓白帽匯的安全人員十分矛盾的是，不知道該不該把這件事情披露出來。

在今年8月，黑產大規模通過 iOS 日曆發送賭博推廣信息及釣魚信息後，白帽匯第一時間推送了報告，結果發現有人馬上在黑產群中求相關軟件。

會不會助長此類事件發生？白帽匯的童鞋內心也很忐忑。

可以知道的是，現在在市麵上暫未發現與iCloud相冊推廣相關的軟件。但是，已經有人提出需求，估計成品軟件也快了。

白帽匯提出了防範措施：

設置—iCloud—照片—iCloud照片共享，關閉。

由於後續垃圾信息擴散至 iOS 日曆和iCloud 相冊，白帽匯再次向雷鋒網強調：

希望Apple 公司能在這三個應用的分享機製上，隻允許好友間互相推送。至於，是通訊錄好友，還是微信、QQ等社交應用好友，還需要看Apple 公司是否能采納建議並製定相關規定。

回顧

1.日曆推廣

8月，白帽匯安全團隊緊急監測評估，iPhone 手機的係統自帶的日曆功能正常情況下一般用於向朋友、同事或家人發出活動或會議邀請，使用起來方便快捷。但某些不良居心的人針對此項功能打起了歪主意——發垃圾信息。詳見：釣魚新手段：iPhone 收到日曆邀請卻顯示垃圾信息？

白帽匯提出的防範措施：

我們建議用戶在收到此類垃圾信息時，切勿點擊任何鏈接，同時也不要理會。此類邀請信息底部一般有係統提供的三個選項，即“接受”、“可能”和“拒絕”。不論用戶點擊了哪個選項，發送者端都會顯示回複者的真實姓名，直接造成用戶敏感信息的泄漏。在擁有用戶郵件地址和真實姓名後，不排除發送者會有進一步的釣魚攻擊等詐騙行為。

如果希望避免收到此類邀請，則可在 iOS 的設置中進入“郵件、通訊錄、日曆”選項，找到並關閉其中的 “郵件中找到的事件”選項；

2. iMessage 推廣

iMessage 是蘋果設備自帶的免費信息發送應用。它的信息通過網絡發送，不同於運營商短信。與傳統短信相比，iMessage 具有以下優勢：

目標人群明確，均為蘋果用戶，消費能力較強；文字數量不限，可以添加表情和圖片；可以添加網址、下載鏈接等，用戶可以直接通過手機訪問；不會被手機安全應用攔截；轉發方便；幾無發送成本；終端送達率極高。

iMessage 通過Apple ID 來發現用戶和發送信息。

營銷機構獲得這些用戶帳號的途徑主要有兩個：

一是某些 App 會讀取並私下記錄用戶的 Apple ID 然後將其打包販賣；另一種是通過特定程序對使用中的蘋果設備進行掃描，以獲取那些已經激活的iMessage賬戶信息，甚至手機號碼。

最後更新：2017-10-08 05:41:53

  上一篇： iPhone7s將配虹膜識別技術，三星偷偷的笑了！

  下一篇： iPhone 7 你不知道的一些細節！