你的朋友给你发了条短信, 但事后发现这条短信不是你朋友发的。这可能吗?安全研究人员Jordan Smith 称这是完全有可能的!他已经将其发现报告给了苹果和 Google。
攻击者所需要的是你安装了一个应用,这个应用获取了你的手机号码以及访问联系人列表,然后这些消息发送给攻击者,同时在联系人列表中添加了额外的号码。攻击者使用添加的号码给你发送了短信,其中包含了链接,如果你粗心大意,点击了链接,你就有可能被钓鱼了。
Google 将该问题标记为“不可行”,而苹果则表示此类行为能在应用审查阶段发现。Google 的应用审查流程是自动化的,而苹果则是人工。
iOS目前只指定一个联系人权限,同时授予读写权限。至少,分离这些权限似乎是合理的。记录每个应用程序的每个编辑也是合理的,可能允许某种反转或黑名单应用于恶意编辑的数字。很好的解决方案是做所有这些事,当第一次收到来自应用编辑号码的消息时,同时提供一个UI信号。
允许应用程序访问您的联系人意味着您对应用程序给予了很大的信任。在授予权限之前,请确保您对他们使用您的地址簿拥有完整的读取和写入权限感到满意......对于无法识别的发布商的小型应用最好不要给予它们这样的权限。大型的品牌应用程序不太可能执行所描述的恶意行为(我相信这在某种程度上是非法的)。
如前所述,苹果和谷歌都已收到通知。目前,我能给出的最佳建议是:
确保您不允许应用访问您的联系人,除非他们来自可信的指定发布商。