近日，白帽匯在官方網(wǎng)站發(fā)布了關于利用iOS日歷邀請功能群發(fā)垃圾信息事件的相關報告。這種方式可以通過手機操作系統(tǒng)中的日歷邀請功能來繞過垃圾郵件過濾機制。目前，該方法暫時僅出現(xiàn)在iOS平臺中，并有可能進一步由垃圾信息群發(fā)渠道演變至釣魚攻擊新手段。

｜事件起因

正常使用中的手機突然彈出來一條邀請信息，上面大概的內(nèi)容是xx娛樂城的營銷信息。大多數(shù)人在遇到這種情況時的第一反應估計是：我的手機是不是被別人控制了？實則不然，即使用戶的手機和相關帳號都是正常且安全的，也有可能出現(xiàn)此類現(xiàn)象。

就在前不久，身邊同事的iPhone手機在正常使用過程中便突然彈出來這樣一條信息，上面大概的內(nèi)容是xx娛樂城、網(wǎng)址xxx.com等等 。接下來，白帽匯的安全團隊便對其進行了一番研究。據(jù)了解，彈出這條信息的其實是這部iPhone手機系統(tǒng)自帶的日歷功能，正常情況下一般用于向朋友、同事或家人發(fā)出活動或會議邀請，使用起來方便快捷。讓人佩服的是，目前這個功能也被懷有不良居心的人打起了歪主意。

｜深入分析

白帽匯安全研究團隊發(fā)現(xiàn)，如果用戶將iPhone系統(tǒng)日歷與iCloud日歷進行同步，便有可能會在iPhone中收到提示并且顯示由不法分子預設的垃圾信息。而這種方式由于并不經(jīng)過郵件系統(tǒng)，導致我們的垃圾郵件防御機制無法起到作用。

從目前用戶提交的相關案例中可以看到，發(fā)送者首先會去獲取一批郵箱地址，之后將其視為被邀請者的iCloud帳號去隨機發(fā)送邀請。邀請信息中包括相關文字和鏈接。此類內(nèi)容被邀請者收到后可直接打開，并不會出發(fā)任何攔截提示。

根據(jù)該方式進行了一個小范圍的測試，發(fā)現(xiàn)其主要影響如下：

1、平均約有5%左右的信息接收者會去點擊邀請中包含的鏈接。該方式可被用來做釣魚攻擊，且效果也是很可觀的；

2、 在接收到的消息中，選擇拒絕和接收之后，在發(fā)送人那里會顯示出你的真實姓名。利用該方式，發(fā)送人可進行進一步的詐騙等操作；

3、多次重復發(fā)送也還會導致不斷收到系統(tǒng)提醒等惡意攻擊。而且沒有任何限制；

4、消息接收過多，可占滿日歷。影響正常的日歷使用；

5、經(jīng)測試，谷歌的Gmail和微軟的Outlook郵箱日歷功能也能夠向iOS日歷發(fā)送相關邀請；

6、在使用了同一個帳戶登錄的已聯(lián)網(wǎng)蘋果設備中，都會出現(xiàn)一樣的消息，例如iPad，MacBook等設備；

當前，網(wǎng)絡上可搜索到此事件最早的記錄為今年6月初，至7月底8月初時逐漸增長至集中爆發(fā)態(tài)勢。

若在百度中搜索“蘋果 日歷 廣告”關鍵詞，其搜索結果前面數(shù)條均是由不同網(wǎng)友反應遇到此類事件：

在微博中搜索到的案例如下：日期顯示為7月的14日,該方法目前也沒有得到任何的修復錯誤：

｜對用戶的建議

我們建議用戶在收到此類垃圾信息時，切勿點擊任何鏈接，同時也不要理會。此類邀請信息底部一般有系統(tǒng)提供的三個選項，即“接受”、“可能”和“拒絕”。不論用戶點擊了哪個選項，發(fā)送者端都會顯示回復者的真實姓名，直接造成用戶敏感信息的泄漏。在擁有用戶郵件地址和真實姓名后，不排除發(fā)送者會有進一步的釣魚攻擊等詐騙行為。

如果希望避免收到此類邀請，則可在iOS的設置中進入“郵件、通訊錄、日歷”選項，找到并關閉其中的 “郵件中找到的事件”選項；

解決方案：我們已經(jīng)通過相關渠道嘗試與蘋果嘗試進行溝通，并給出了相關防護建議，即對日歷的邀請內(nèi)容加入垃圾信息過濾處理，防止被惡意利用。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。