馬漢

信息化時代，現(xiàn)在基本上是每人都擁有一臺手機，現(xiàn)實中，可能你會收到某個親戚的短信或電話，來電是顯示“親人”名字，然而你仔細看看號碼，這并不是你親友手機號碼，這是怎么回事？近日，國內(nèi)知名黑客安全組織東方聯(lián)盟曾演示過這一技術(shù)：“你可以從你的朋友那里收到一條短信，在后來才發(fā)現(xiàn)它不是真的來自你的朋友？在使用iOS上的聯(lián)系人框架之后，驚訝地發(fā)現(xiàn)這是一種非常現(xiàn)實的可能性。Apple和Google都已收到通知（同樣的攻擊可能也適用于Android設(shè)備）。我沒有包括源代碼，但是實現(xiàn)這個將是一個簡單的任務(wù)?！?/p>

攻擊

您是一位技術(shù)精明的智能手機用戶，您會收到來自已知聯(lián)系人的消息，甚至可能是家庭成員。對你而言，這條消息實際上來自攻擊者，并且可能包含一種你從來不會考慮從陌生人那里獲得的釣魚鏈接、問題或行動……但是從一個值得信任的聯(lián)系人來說，這種擔(dān)憂幾乎沒有了。

來自模擬聯(lián)系人的消息

消息向后和向前也是可能的。您可以回復(fù)可信的聯(lián)系人，并且會從攻擊者處返回答復(fù)。與此同時，被冒充的聯(lián)系人不知道這是怎么回事。

來自假冒聯(lián)系人的回復(fù)

在（或者甚至）你意識到發(fā)生了什么之后，你可能猜不到原因。也許你會認為這是發(fā)送者的設(shè)備被“黑客入侵”。實際上，真正的原因可能早就從您的設(shè)備中消失了……您幾個月前卸載的應(yīng)用程序，甚至有可能在AppStore上不再可用。

這怎么發(fā)生的

仔細檢查后，“可信”聯(lián)系人會為其聯(lián)系人卡片分配一個額外的號碼。正是這個數(shù)字促進了攻擊者和目標用戶之間的消息交換。在過去的某個時候，也許甚至幾個月或幾年前，您安裝了一個應(yīng)用程序。該應(yīng)用程序可能已經(jīng)完成了它的功能，完成它所聲稱的功能。除了這些事情之外，該應(yīng)用還做了以下工作：

1.要求您在設(shè)置過程中提供您的電話號碼（可能用于雙因素身份驗證）；

2.請求獲得訪問您的聯(lián)系人的權(quán)限；

3.這兩種都是相當(dāng)常見的應(yīng)用行為。只要應(yīng)用程序的功能保證訪問這些信息，許多用戶就不會再三思考。同時，在提供真實功能的幌子下，該應(yīng)用程序選擇了目標聯(lián)系人，無聲地添加了一個額外的電話號碼。您的電話號碼以及目標聯(lián)系人數(shù)據(jù)將發(fā)送給攻擊者，該攻擊者將存儲此信息以供日后使用。

聯(lián)系權(quán)限對話

所有攻擊者現(xiàn)在需要做的就是發(fā)送一條消息，從一個默默添加到可信聯(lián)系人條目的號碼中。您的設(shè)備會將其顯示為來自匹配的可信聯(lián)系人的消息。為了獲得更大地效果，應(yīng)用程序可以在選擇目標聯(lián)系人時應(yīng)用啟發(fā)式方法，喜歡“爸爸”和“媽媽”等名稱或具有昵稱的聯(lián)系人。

這可以如何解決

iOS目前只指定一個聯(lián)系權(quán)限，同時授予讀寫權(quán)限。至少，分離這些權(quán)限似乎是合理的。記錄每次編輯的應(yīng)用程序也是明智的，可能會允許某種反轉(zhuǎn)或黑名單應(yīng)用于惡意編輯的數(shù)字。當(dāng)?shù)谝淮问盏絹碜詰?yīng)用編輯號碼的消息時，一個很好的解決方案是做所有這些事情，同時提供一個UI信號。

你該怎么辦

允許應(yīng)用程序訪問您的聯(lián)系人意味著對應(yīng)用程序給予很大的信任。在授予權(quán)限之前，請確保您對他們對您的地址簿擁有完整的讀寫訪問權(quán)限感到滿意......來自無法識別的發(fā)布者的小應(yīng)用可能不符合該描述。大型的品牌應(yīng)用程序不太可能執(zhí)行所描述的惡意行為（相信這在某種程度上是非法的）。

如前所述，東方聯(lián)盟黑客安全專家表示，蘋果和谷歌都已收到通知。谷歌將問題標記為“不可行”，蘋果已經(jīng)表示他們希望在應(yīng)用程序?qū)彶檫^程中發(fā)現(xiàn)這種行為。盡管在應(yīng)用程序?qū)彶槠陂g追求這種惡意行為的意圖最好，但該應(yīng)用程序可能只會在某個日期后激活該行為，從而允許其通過審核而沒有問題。目前，我能給出的最佳建議是：除非他們來自可信的指定發(fā)布商，否則應(yīng)不允許應(yīng)用訪問您的聯(lián)系人。