信息化时代,现在基本上是每人都拥有一台手机,现实中,可能你会收到某个亲戚的短信或电话,来电是显示“亲人”名字,然而你仔细看看号码,这并不是你亲友手机号码,这是怎么回事呢?近日,国内知名黑客安全组织东方联盟曾演示过这一技术:“如果你可以从你的朋友那里收到一条短信,那么只有在后来才发现它不是真的来自你的朋友?在使用iOS上的联系人框架之后,我惊讶地发现这是一种非常现实的可能性。Apple和Google都已收到通知(同样的攻击可能也适用于Android设备)。我没有包括源代码,但是实现这个将是一个简单的任务。”

  攻击

  您是一位技术精明的智能手机用户,您会收到来自已知联系人的消息,甚至可能是家庭成员。对你而言,这条消息实际上来自攻击者,并且可能包含一种你从来不会考虑从陌生人那里获得的钓鱼链接,问题或行动......但是从一个值得信任的联系人来说,这种担忧几乎没有了。

  来自模拟联系人的消息

  消息向后和向前也是可能的。您可以回复(推测)可信的联系人,并且会从攻击者处返回答复。与此同时,冒充的联系人不知道这是怎么回事。

  来自假冒联系人的回复

  在(或者甚至)你意识到发生了什么之后,你可能猜不到如何。也许你会认为这是发送者的设备被“黑客入侵”。实际上,真正的原因可能早就从您的设备中消失了......您几个月前卸载的应用程序,甚至有可能在AppStore上不再可用。

  这怎么发生的?

  仔细检查后,“可信”联系人会为其联系人卡片分配一个额外的号码。正是这个数字促进了攻击者和目标用户之间的消息交换。在过去的某个时候,也许甚至几个月或几年前,您安装了一个应用程序。该应用程序可能已经完成了它的功能,完成它所声称的功能。除了这些事情之外,该应用还做了以下工作:

1、要求您在设置过程中提供您的电话号码(可能用于双因素身份验证)

2、请求获得访问您的联系人的权限

3、这两种都是相当常见的应用行为。只要应用程序的功能保证访问这些信息,许多用户就不会再三思考。同时,在提供真实功能的幌子下,该应用程序选择了目标联系人,无声地添加了一个额外的电话号码。您的电话号码以及目标联系人数据将发送给攻击者,该攻击者将存储此信息以供日后使用。

  联系权限对话

  所有攻击者现在需要做的就是发送一条消息,从一个默默添加到可信联系人条目的号码中。您的设备会将其显示为来自匹配的可信联系人的消息......它不会更好。为了获得更大的效果,应用程序可以在选择目标联系人时应用启发式方法,喜欢“爸爸”和“妈妈”等名称或具有昵称的联系人。

  这可以如何解决

iOS目前只指定一个联系权限,同时授予读写权限。至少,分离这些权限似乎是合理的。记录每次编辑的应用程序也是明智的,可能会允许某种反转或黑名单应用于恶意编辑的数字。一个很好的解决方案是做所有这些事情,同时提供一个UI信号,当第一次收到来自应用编辑号码的消息时。

  你该怎么办?

  允许应用程序访问您的联系人意味着对应用程序给予很大的信任。在授予权限之前,请确保您对他们对您的地址簿拥有完整的读写访问权限感到满意......来自无法识别的发布者的小应用可能不符合该描述。大型的品牌应用程序不太可能执行所描述的恶意行为(我相信这在某种程度上是非法的)。

​  如前所述,东方联盟黑客安全专家表示,苹果和谷歌都已收到通知。谷歌将问题标记为“不可行”,苹果已经表示他们希望在应用程序审查过程中发现这种行为。尽管在应用程序审查期间追求这种恶意行为的意图最好,但该应用程序可能只会在某个日期后激活该行为,从而允许其通过审核而没有问题。目前,我能给出的最佳建议是确保您不允许应用访问您的联系人,除非他们来自可信的指定发布商。

智能手机安全:黑客是如何秘密控制你手机号码相关推荐

  1. 黑客可利用超声波秘密控制语音助手设备

    聚焦源代码安全,网罗国内外最新资讯! 作者:Ravie Lakshmanan 编译:奇安信代码卫士团队 密歇根州立大学.华盛顿大学.中国科学院和内布拉斯加林肯大学的研究人员发现了通过超声波攻击声控设备 ...

  2. 黑客或可完全控制设备,苹果紧急发布补丁!

    8月20日,苹果公司报告了一个重大的安全漏洞,这些漏洞可能会让潜在的攻击者入侵用户设备.获得管理权限甚至完全控制设备并运行其中的应用软件. 据介绍,受本次漏洞影响的设备涵盖了几乎所有的苹果产品.其中手 ...

  3. 玩智能手机必须要知道的秘密

    1.不要赶着正好1分钟结束通话    我们打电话的时候常常会为了正好赶在1:00前结束而庆幸,但其实并不是这样的,据一位中国移动的工作人员说,其实在你通话到0:55的时候就已经算一分钟了,所以0:55 ...

  4. 前端控制 隐藏手机号码中间四位

    方案一: 切割 phone = res.phone.substr(0, 3) + '****' + res.phone.substr(7) 方案二: 正则 var reg = getRegExp('^ ...

  5. 苹果系统新致命漏洞,黑客可以随意控制您的手机设备

    国内知名黑客组织东方联盟的安全研究人员发现了苹果一个新的漏洞,可能会让黑客在您不知情的情况下访问您的iPhone和iPad. 一旦用户授权他们的设备与黑客连接到同一个Wi-Fi网络,他们称这种漏洞为& ...

  6. Kinect与黑客们如何相处

    Kinect与黑客们如何相处 岁末年初,脸上长满胡须.身穿连帽外套.讲着满口粗话的电脑黑客卡尔·马楚里斯(Kyle Machulis)登上旧金山音乐巡演站Rickshaw的舞台.他在那里发表了一篇Ne ...

  7. 多年来这伙黑客都在通过木马化黑客工具攻击另一伙黑客

    聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 多年来,一个神秘团伙几乎每天都会推出多款木马化的黑客工具,感染黑客并获得访问其计算机的权限. 网络安全企业 Cybereason 发布报 ...

  8. 2008社工新书《黑客社会工程学攻击》

    保留一份以免淡忘了.     这本书写的非常的好,对于想深入了解这门艺术的人看是个不错的选择. --------------部分目录------------------------ 第一章.黑客时代的 ...

  9. 深度长文:智能手机的社会学研究

    来源:36Kr 编辑:郝鹏程 媒介是人的延伸,智能手机是直接嫁接在我们身体上的一种器官 这是一篇长文,以社会学的研究路径展示了智能手机的影响:它潜移默化.无影无踪.斯麦兹"受众商品论&quo ...

  10. 黑客常用的攻击方式是哪些?

    黑客攻击手段可分为非破坏性攻击和破坏性攻击两类.非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹:破坏性攻击是以侵入他人电脑系统.盗窃系统保密信息.破坏目标系统的 ...

最新文章

  1. nvm npm不是内部命令_npm作弊表-最常见的命令和nvm
  2. 在Ubuntu上安装Odoo 11(企业版)
  3. BZOJ3435[Wc2014]紫荆花之恋——动态点分治(替罪羊式点分树套替罪羊树)
  4. windows服务autofac注入quartz任务
  5. 使用Java RMI时要记住的两件事
  6. 网站左侧悬浮框随着滚动条滚动代码
  7. Wine——在Linux上运行Windows软件
  8. 87-Moving average of oscillator,移动平均振荡指标.(2015.7.4)
  9. C# 反射应用实例-获取当前Color类的所有颜色
  10. 211. 字符串置换
  11. android网络工程师,网络工程师考试app下载-网络工程师考试 安卓版v3.0.7-PC6安卓网...
  12. 计算机主机只有一块硬盘,电脑双硬盘只显示一个怎么办
  13. 合天网安实验室CTF-Exp200-Come on,Exploit me!
  14. IDEA快捷键 进行查找和批量替换
  15. (1条消息) CodeForces 1278 B.A and B(Math)
  16. 国企央企OFFER收割全攻略 | 银行篇之差额体检答疑
  17. HBUilder X 使用方法
  18. php代码转换工具,推荐几款格式化工具以及代码转换工具
  19. 添加自定义MIB的三种方法
  20. C语言调试技巧(以vs编译器为例)

热门文章

  1. c语言文学研究助手报告,文学研究助手数据结构报告
  2. 电力拖动自动控制系统复习(二)
  3. linux+ipv6免流量下载,如何限定apt-get使用IPv4或IPv6协议下载
  4. Debian中安装Vmware Tools
  5. Java实现自定义工作流
  6. python文本文件合并_使用python将2个文本文件合并为一个文件 - python
  7. cholesky分解_FM因子分解机的原理、公式推导、Python实现和应用
  8. JavaScript 弹出窗口代码大全
  9. 下载 MIUI任意型号卡刷包/线刷包
  10. 楚留香服务器维护时间,【9月28日维护公告】