深扒iMessage垃圾短信的背后 真相让人心寒
作为全球最知名的手机品牌厂商,苹果的消费电子设备一直引领行业潮流,尤其iPhone手机更是被视为“手机创新的风向标”。
根据咨询研究公司Newzoo的一份调查报告显示,全球有7.3亿部iPhone在使用,占全球人口的1/10,这还不包括iPad、Mac、Apple Watch等产品线销量。
但是,iPhone给人们带来极大方便的同时,一些隐藏的安全、骚扰事件频频发生。
根据freebuf的报道,苹果AirDorp正变身“Cyber flashing”。AirDrop中文译为隔空投送,它是苹果公司iOS和Mac OS系统中特有的功能,可用于在多台设备之间分享文件。
但是,如果在不使用AirDorp时没有关闭,你可能会遭受“Cyber flashing”的骚扰。
何为“Cyber flashing”?维基百科解释:一种犯罪行为,涉及通过AirDrop向陌生人发送淫秽图片。在国外,AirDorp“骚扰”案件频繁发生。
对此,笔者向国内知名的移动安全综合服务商爱加密相关人士请教,它们给出的建议是,在不使用AirDrop(隔空投送)的时候,最好关闭该功能,使用时开启,因为只有联系人才能搜索到。
相对于AirDrop,苹果手机的iMessage垃圾短信可能更让人深恶痛绝。
2011年,苹果推出即时通讯软件iMessage,支持iPhone、iPad、iPod touch等多款设备,可以免费发送短信、视频等信息。与电信运营商不同的是,iMessage的信息通过网络发送。
与传统短信不同,iMessage目标人群明确,均为苹果用户,消费能力较强。同时,iMessage文字数量不限,同时还可以添加表情和图片,加入网址、下载链接等,用户可以直接通过手机访问。
另外,iMessage发送的消息不会被手机安全卫士拦截,转发方便,没有发送成本,并且送达终端的概率极高。
这种便利性,不仅方便了广大用户,提高了其沟通效率,而且成为垃圾短信最佳的利用方式。
在技术方面,iMessage群发垃圾短信只需要克服两个技术难点:一个是iMessage账户的获取,另一个是群发iMessage。
iMessage账号目前获取的方法主要是扫描手机号码。扫描手机号码可以通过代码自动扫描,也可以通过人工筛选。
据悉,借用手机号码生成器每分钟可以生成1亿个符合规则的手机号码,半小时内可以覆盖到全国的手机号,随后通过扫号筛选出合格的iMessage用户。
而iMessage垃圾短信群发,有两个方法,一个是通过iMessage客户端,另一个是通过AppleScript脚本控制iMessage客户端发送。
在iMessage上,垃圾短信包括赌场、博彩广告、开发票广告、色情影片推荐、贷款、刷单、贩卖高仿A货、药物等,这些垃圾短信不仅让人们对苹果手机越来越不满,而且大大影响iPhone手机在人们心中的印象。
从2013年开始,基于iMessage的垃圾信息产业逐渐成型。根据之前《21世纪经济报道》的报道,国内iMessage一年的垃圾信息数量超过百亿条,有近7500万iMessage用户频繁被垃圾短信骚扰。
据爱加密相关人士表示,iMessage账号不仅与Apple ID绑定,而且也与使用Apple ID的手机号码绑定。
iMessage垃圾短信是通过使用苹果的iMessage协议,使用程序验证手机号是否绑定iMessage。如果绑定,就可以通过协议群发广告消息。
在iMessage的信息群发中,价格从3分到1毛6不等。比如,有机构购买几百台iPod touch,每天可发送百万条信息。
对于垃圾短信,苹果公司最开始是封禁Apple ID,但是效果不是很好,后来又开始封禁设备。一旦苹果设备被封,意味着这台机器报废。
对普通用户来说,如何防范iMessage的垃圾信息干扰?爱加密的相关人士建议道,用户可以在短信设置里关闭iMessage,避免垃圾短信干扰,而其他功能不受影响。
当谈到苹果上频繁发生的安全、骚扰事件时?他们表示,“在大家广泛认知里面,一直觉得相对于安卓来说苹果设备更加封闭,所以安全性也应该更高。
但是实际情况是,苹果设备面临的安全风险并不比安卓设备低。相对安卓而言,绝大多数用户对苹果设备了解不深,所以安全防范意识薄弱,防护方法不多。”
其中很重要的一点是,“很多用户为了占小便宜,免费安装一些收费应用,轻易对手机进行越狱,破坏了苹果本身的安全机制。越狱手机安装的应用往往都会经过二次打包、篡改和集成了恶意程序的仿冒应用,给用户带来了很大的安全隐患和风险。”
同时,他们也指出:由于大部分普通用户并不熟悉苹果设置,所以对诸如iMessage或AirDrop等功能设置不当,会带来垃圾信息、钓鱼仿冒等相关风险,进一步增加了苹果设备的骚扰和安全事件。