信息化時代,現在基本上是每人都擁有一臺手機,現實中,可能你會收到某個親戚的短信或電話,來電是顯示“親人”名字,然而你仔細看看號碼,這並不是你親友手機號碼,這是怎麼回事呢?近日,國內知名黑客安全組織東方聯盟曾演示過這一技術:“如果你可以從你的朋友那裏收到一條短信,那麼只有在後來才發現它不是真的來自你的朋友?在使用iOS上的聯繫人框架之後,我驚訝地發現這是一種非常現實的可能性。Apple和Google都已收到通知(同樣的攻擊可能也適用於Android設備)。我沒有包括源代碼,但是實現這個將是一個簡單的任務。”
攻擊
您是一位技術精明的智能手機用戶,您會收到來自已知聯繫人的消息,甚至可能是家庭成員。對你而言,這條消息實際上來自攻擊者,並且可能包含一種你從來不會考慮從陌生人那裏獲得的釣魚鏈接,問題或行動......但是從一個值得信任的聯繫人來說,這種擔憂幾乎沒有了。
來自模擬聯繫人的消息
消息向後和向前也是可能的。您可以回覆(推測)可信的聯繫人,並且會從攻擊者處返回答覆。與此同時,冒充的聯繫人不知道這是怎麼回事。
來自假冒聯繫人的回覆
在(或者甚至)你意識到發生了什麼之後,你可能猜不到如何。也許你會認爲這是發送者的設備被“黑客入侵”。實際上,真正的原因可能早就從您的設備中消失了......您幾個月前卸載的應用程序,甚至有可能在AppStore上不再可用。
這怎麼發生的?
仔細檢查後,“可信”聯繫人會爲其聯繫人卡片分配一個額外的號碼。正是這個數字促進了攻擊者和目標用戶之間的消息交換。在過去的某個時候,也許甚至幾個月或幾年前,您安裝了一個應用程序。該應用程序可能已經完成了它的功能,完成它所聲稱的功能。除了這些事情之外,該應用還做了以下工作:
1、要求您在設置過程中提供您的電話號碼(可能用於雙因素身份驗證)
2、請求獲得訪問您的聯繫人的權限
3、這兩種都是相當常見的應用行爲。只要應用程序的功能保證訪問這些信息,許多用戶就不會再三思考。同時,在提供真實功能的幌子下,該應用程序選擇了目標聯繫人,無聲地添加了一個額外的電話號碼。您的電話號碼以及目標聯繫人數據將發送給攻擊者,該攻擊者將存儲此信息以供日後使用。
聯繫權限對話
所有攻擊者現在需要做的就是發送一條消息,從一個默默添加到可信聯繫人條目的號碼中。您的設備會將其顯示爲來自匹配的可信聯繫人的消息......它不會更好。爲了獲得更大的效果,應用程序可以在選擇目標聯繫人時應用啓發式方法,喜歡“爸爸”和“媽媽”等名稱或具有暱稱的聯繫人。
這可以如何解決
iOS目前只指定一個聯繫權限,同時授予讀寫權限。至少,分離這些權限似乎是合理的。記錄每次編輯的應用程序也是明智的,可能會允許某種反轉或黑名單應用於惡意編輯的數字。一個很好的解決方案是做所有這些事情,同時提供一個UI信號,當第一次收到來自應用編輯號碼的消息時。
你該怎麼辦?
允許應用程序訪問您的聯繫人意味着對應用程序給予很大的信任。在授予權限之前,請確保您對他們對您的地址簿擁有完整的讀寫訪問權限感到滿意......來自無法識別的發佈者的小應用可能不符合該描述。大型的品牌應用程序不太可能執行所描述的惡意行爲(我相信這在某種程度上是非法的)。
如前所述,東方聯盟黑客安全專家表示,蘋果和谷歌都已收到通知。谷歌將問題標記爲“不可行”,蘋果已經表示他們希望在應用程序審查過程中發現這種行爲。儘管在應用程序審查期間追求這種惡意行爲的意圖最好,但該應用程序可能只會在某個日期後激活該行爲,從而允許其通過審覈而沒有問題。目前,我能給出的最佳建議是確保您不允許應用訪問您的聯繫人,除非他們來自可信的指定發佈商。