信息化時代,現(xiàn)在基本上是每人都擁有一臺手機,現(xiàn)實中,可能你會收到某個親戚的短信或電話,來電是顯示“親人”名字,然而你仔細看看號碼,這并不是你親友手機號碼,這是怎么回事呢?近日,國內(nèi)知名黑客安全組織東方聯(lián)盟曾演示過這一技術:“如果你可以從你的朋友那里收到一條短信,那么只有在后來才發(fā)現(xiàn)它不是真的來自你的朋友?在使用iOS上的聯(lián)系人框架之后,我驚訝地發(fā)現(xiàn)這是一種非常現(xiàn)實的可能性。Apple和Google都已收到通知(同樣的攻擊可能也適用于Android設備)。我沒有包括源代碼,但是實現(xiàn)這個將是一個簡單的任務。”
攻擊
您是一位技術精明的智能手機用戶,您會收到來自已知聯(lián)系人的消息,甚至可能是家庭成員。對你而言,這條消息實際上來自攻擊者,并且可能包含一種你從來不會考慮從陌生人那里獲得的釣魚鏈接,問題或行動......但是從一個值得信任的聯(lián)系人來說,這種擔憂幾乎沒有了。
來自模擬聯(lián)系人的消息
消息向后和向前也是可能的。您可以回復(推測)可信的聯(lián)系人,并且會從攻擊者處返回答復。與此同時,冒充的聯(lián)系人不知道這是怎么回事。
來自假冒聯(lián)系人的回復
在(或者甚至)你意識到發(fā)生了什么之后,你可能猜不到如何。也許你會認為這是發(fā)送者的設備被“黑客入侵”。實際上,真正的原因可能早就從您的設備中消失了......您幾個月前卸載的應用程序,甚至有可能在AppStore上不再可用。
這怎么發(fā)生的?
仔細檢查后,“可信”聯(lián)系人會為其聯(lián)系人卡片分配一個額外的號碼。正是這個數(shù)字促進了攻擊者和目標用戶之間的消息交換。在過去的某個時候,也許甚至幾個月或幾年前,您安裝了一個應用程序。該應用程序可能已經(jīng)完成了它的功能,完成它所聲稱的功能。除了這些事情之外,該應用還做了以下工作:
1、要求您在設置過程中提供您的電話號碼(可能用于雙因素身份驗證)
2、請求獲得訪問您的聯(lián)系人的權限
3、這兩種都是相當常見的應用行為。只要應用程序的功能保證訪問這些信息,許多用戶就不會再三思考。同時,在提供真實功能的幌子下,該應用程序選擇了目標聯(lián)系人,無聲地添加了一個額外的電話號碼。您的電話號碼以及目標聯(lián)系人數(shù)據(jù)將發(fā)送給攻擊者,該攻擊者將存儲此信息以供日后使用。
聯(lián)系權限對話
所有攻擊者現(xiàn)在需要做的就是發(fā)送一條消息,從一個默默添加到可信聯(lián)系人條目的號碼中。您的設備會將其顯示為來自匹配的可信聯(lián)系人的消息......它不會更好。為了獲得更大的效果,應用程序可以在選擇目標聯(lián)系人時應用啟發(fā)式方法,喜歡“爸爸”和“媽媽”等名稱或具有昵稱的聯(lián)系人。
這可以如何解決
iOS目前只指定一個聯(lián)系權限,同時授予讀寫權限。至少,分離這些權限似乎是合理的。記錄每次編輯的應用程序也是明智的,可能會允許某種反轉(zhuǎn)或黑名單應用于惡意編輯的數(shù)字。一個很好的解決方案是做所有這些事情,同時提供一個UI信號,當?shù)谝淮问盏絹碜詰镁庉嬏柎a的消息時。
你該怎么辦?
允許應用程序訪問您的聯(lián)系人意味著對應用程序給予很大的信任。在授予權限之前,請確保您對他們對您的地址簿擁有完整的讀寫訪問權限感到滿意......來自無法識別的發(fā)布者的小應用可能不符合該描述。大型的品牌應用程序不太可能執(zhí)行所描述的惡意行為(我相信這在某種程度上是非法的)。
如前所述,東方聯(lián)盟黑客安全專家表示,蘋果和谷歌都已收到通知。谷歌將問題標記為“不可行”,蘋果已經(jīng)表示他們希望在應用程序?qū)彶檫^程中發(fā)現(xiàn)這種行為。盡管在應用程序?qū)彶槠陂g追求這種惡意行為的意圖最好,但該應用程序可能只會在某個日期后激活該行為,從而允許其通過審核而沒有問題。目前,我能給出的最佳建議是確保您不允許應用訪問您的聯(lián)系人,除非他們來自可信的指定發(fā)布商。