在使用 iOS 上的联系人框架之后, 我惊讶地发现这是一种非常现实的可能性. Apple 和 Google 都已收到通知(同样的攻击可能也适用于 Android 设备). 我没有包括源代码, 但是实现这个将是一个简单的任务."
信息化时代, 现在基本上是每人都拥有一台手机, 现实中, 可能你会收到某个亲戚的短信或电话, 来电是显示 "亲人" 名字, 然而你仔细看看号码, 这并不是你亲友手机号码, 这是怎么回事呢? 近日, 国内知名黑客安全组织东方联盟曾演示过这一技术:"如果你可以从你的朋友那里收到一条短信, 那么只有在后来才发现它不是真的来自你的朋友? 在使用 iOS 上的联系人框架之后, 我惊讶地发现这是一种非常现实的可能性. Apple 和 Google 都已收到通知(同样的攻击可能也适用于 Android 设备). 我没有包括源代码, 但是实现这个将是一个简单的任务."
攻击
您是一位技术精明的智能手机用户, 您会收到来自已知联系人的消息, 甚至可能是家庭成员. 对你而言, 这条消息实际上来自攻击者, 并且可能包含一种你从来不会考虑从陌生人那里获得的钓鱼链接, 问题或行动...... 但是从一个值得信任的联系人来说, 这种担忧几乎没有了.
来自模拟联系人的消息
消息向后和向前也是可能的. 您可以回复 (推测) 可信的联系人, 并且会从攻击者处返回答复. 与此同时, 冒充的联系人不知道这是怎么回事.
来自假冒联系人的回复
在 (或者甚至) 你意识到发生了什么之后, 你可能猜不到如何. 也许你会认为这是发送者的设备被 "黑客入侵". 实际上, 真正的原因可能早就从您的设备中消失了...... 您几个月前卸载的应用程序, 甚至有可能在 AppStore 上不再可用.
这怎么发生的?
仔细检查后,"可信" 联系人会为其联系人卡片分配一个额外的号码. 正是这个数字促进了攻击者和目标用户之间的消息交换. 在过去的某个时候, 也许甚至几个月或几年前, 您安装了一个应用程序. 该应用程序可能已经完成了它的功能, 完成它所声称的功能. 除了这些事情之外, 该应用还做了以下工作:
1, 要求您在设置过程中提供您的电话号码(可能用于双因素身份验证)
2, 请求获得访问您的联系人的权限
3, 这两种都是相当常见的应用行为. 只要应用程序的功能保证访问这些信息, 许多用户就不会再三思考. 同时, 在提供真实功能的幌子下, 该应用程序选择了目标联系人, 无声地添加了一个额外的电话号码. 您的电话号码以及目标联系人数据将发送给攻击者, 该攻击者将存储此信息以供日后使用.
联系权限对话
所有攻击者现在需要做的就是发送一条消息, 从一个默默添加到可信联系人条目的号码中. 您的设备会将其显示为来自匹配的可信联系人的消息...... 它不会更好. 为了获得更大的效果, 应用程序可以在选择目标联系人时应用启发式方法, 喜欢 "爸爸" 和 "妈妈" 等名称或具有昵称的联系人.
这可以如何解决
iOS 目前只指定一个联系权限, 同时授予读写权限. 至少, 分离这些权限似乎是合理的. 记录每次编辑的应用程序也是明智的, 可能会允许某种反转或黑名单应用于恶意编辑的数字. 一个很好的解决方案是做所有这些事情, 同时提供一个 UI 信号, 当第一次收到来自应用编辑号码的消息时.
你该怎么办?
允许应用程序访问您的联系人意味着对应用程序给予很大的信任. 在授予权限之前, 请确保您对他们对您的地址簿拥有完整的读写访问权限感到满意...... 来自无法识别的发布者的小应用可能不符合该描述. 大型的品牌应用程序不太可能执行所描述的恶意行为(我相信这在某种程度上是非法的).
如前所述, 东方联盟黑客安全专家表示, 苹果和谷歌都已收到通知. 谷歌将问题标记为 "不可行", 苹果已经表示他们希望在应用程序审查过程中发现这种行为. 尽管在应用程序审查期间追求这种恶意行为的意图最好, 但该应用程序可能只会在某个日期后激活该行为, 从而允许其通过审核而没有问题. 目前, 我能给出的最佳建议是确保您不允许应用访问您的联系人, 除非他们来自可信的指定发布商.
来源: http://netsecurity.51cto.com/art/201804/570197.htm