近日,白帽汇在官方网站发布了关于借助iOS月历约请功能群发垃圾信息风波的相关报告。这种方法可以通过手机操作系统中的月历约请功能来绕开垃圾邮件过滤机制。目前,该方式暂时仅出现在iOS平台中,并有可能进一步由垃圾信息群发渠道演化至垂钓功击新手段。
事件起因
正常使用中的手机忽然弹下来一条约请信息,上面大约的内容是xx娱乐城的营销信息。大多数人在碰到这些情况时的第一反应恐怕是:我的手机是不是被他人控制了?实则不然,即使用户的手机和相关账号都是正常且安全的,也有可能出现这种现象。
就在前不久,身边朋友的iPhone手机在正常使用过程中便忽然弹下来这样一条信息,上面大约的内容是xx娱乐城、网址xxx.com等等 。接下来,白帽汇的安全团队便对其进行了一番研究。据了解,弹出这条信息的虽然是这部iPhone手机系统自带的月历功能,正常情况下通常用于向同学、同事或家人发出活动或大会约请,使用上去便捷快捷。让人敬佩的是,目前这个功能也被怀有不良居心的人打起了歪主意。
深入剖析
白帽汇安全研究团队发觉,如果用户将iPhone系统月历与iCloud月历进行同步,便有可能会在iPhone中收到提示而且显示由不法分子预设的垃圾信息。而这些方法因为并不经过电邮系统,导致我们的垃圾邮件防御机制难以起到作用。
从目前用户递交的相关案例中可以见到,发送者首先会去获取一批邮箱地址,之后将其视为被邀请者的iCloud账号去随机发送约请。邀请信息中包括相关文字和链接。此类内容被邀请者收到后可直接打开,并不会出发任何拦截提示。
根据该方法进行了一个小范围的测试,发现其主要影响如下:
1、平均约有5%左右的信息接收者会去点击约请中包含的链接。该方法可被拿来做垂钓功击,且疗效也是很可观的;
2、 在接收到的消息中,选择拒绝和接收以后,在发送人哪里会显示出你的真实姓名。利用该方法,发送人可进行进一步的盗窃等操作;
3、多次重复发送也都会造成不断收到系统提醒等恶意功击。而且没有任何限制;
4、消息接收过多,可占满月历。影响正常的月历使用;
5、经测试,谷歌的Gmail和谷歌的Outlook邮箱月历功能也才能向iOS月历发送相关约请;
6、在使用了同一个账户登陆的已联网苹果设备中,都会出现一样的消息,例如iPad,MacBook等设备;
当前,网络上可搜索到此风波最早的记录为今年6月初,至7月底8月初时逐步下降至集中爆发态势。
若在百度中搜索“苹果 日历 广告”关键词,其搜索结果上面数条均是由不同网友反应遇见这种风波:
在微博中搜索到的案例如下:日期显示为7月的14日,该方式目前也没有得到任何的修补错误:
对用户的建议
我们建议用户在收到这种垃圾信息时,切勿点击任何链接,同时也不要理会。此类约请信息顶部通常有系统提供的三个选项,即“接受”、“可能”和“拒绝”。不论用户点击了那个选项,发送者端就会显示回复者的真实姓名,直接导致用户敏感信息的泄露。在拥有用户电邮地址和真实姓名后,不排除发送者会有进一步的垂钓功击等盗窃行为。
如果希望防止收到这种约请,则可在iOS的设置中步入“邮件、通讯录、日历”选项,找到并关掉其中的 “邮件中找到的风波”选项;
解决方案:我们早已通过相关渠道尝试与苹果尝试进行沟通,并给出了相关防护建议,即对月历的约请内容加入垃圾信息过滤处理,防止被恶意借助。