在听到安全从业人员提供线索，说iPhone的分享机制再次被利用，iCloud相册被黑产人员用于广告营销。最近童鞋的iPhone手机又在使用过程中被人发送相册分享邀请，发现是垃圾信息推广，而通过这个推广渠道，大多数iPhone用户都能收到，因为这些选项都是默认开启的。如下图所示： 然后，可以看到，有一个推广信息。 新招：iCloud相册分享用于推广这个推广信息究竟是怎么来的？首先，打开相册—共享—开始共享 然后就会需要输入标题内容，一般赌博网站的话就会写:xxx娱乐城xxx.com来就送xx元 不能写别的吗？比如，附上钓鱼网址的诈骗信息，目前不行，基本靠文字推送，也不能发图片，网址就算加进去也打不开。输入iCloud绑定的邮箱，点击创建，就能收到推广的信息了。 比较恼火的一点是，推送方和接收方无需是好友关系，只要知道对方ID，就可以进行推送，而且，此次白帽汇发现，这些ID账号基本都是QQ邮箱。 为什么Apple公司不禁用此项功能？这项功能其实并不是什么漏洞，是iPhone的正常功能。但是，一项特殊的中国国情是，中国有很多人用QQ邮箱作为Apple产品的ID，因此黑产人员通过撞库等，很容易知道一个QQ邮箱是否为Apple ID，从而以上述方式进行精准营销和推广。国外Apple用户的ID一般用其他邮箱注册，所以也没发生大量这样的事件。 可以知道的是，现在在市面上暂未发现与iCloud相册推广相关的软件。但是，已经有人提出需求，估计成品软件也快了。 防范措施：设置—iCloud—照片—iCloud照片共享，关闭。 由于后续垃圾信息扩散至iOS日历和iCloud相册，希望Apple公司能在这三个应用的分享机制上，只允许好友间互相推送。至于，是通讯录好友，还是微信、QQ等社交应用好友，还需要看Apple公司是否能采纳建议并制定相关规定。回顾1.日历推广8月，iPhone手机的系统自带的日历功能正常情况下一般用于向朋友、同事或家人发出活动或会议邀请，使用起来方便快捷。但某些不良居心的人针对此项功能打起了歪主意——发垃圾信息。防范措施：我们建议用户在收到此类垃圾信息时，切勿点击任何链接，同时也不要理会。此类邀请信息底部一般有系统提供的三个选项，即“接受”、“可能”和“拒绝”。不论用户点击了哪个选项，发送者端都会显示回复者的真实姓名，直接造成用户敏感信息的泄漏。在拥有用户邮件地址和真实姓名后，不排除发送者会有进一步的钓鱼攻击等诈骗行为。如果希望避免收到此类邀请，则可在iOS的设置中进入“邮件、通讯录、日历”选项，找到并关闭其中的“邮件中找到的事件”选项；2.iMessage推广iMessage是苹果设备自带的免费信息发送应用。它的信息通过网络发送，不同于运营商短信。与传统短信相比，iMessage具有以下优势：目标人群明确，均为苹果用户，消费能力较强；文字数量不限，可以添加表情和图片；可以添加网址、下载链接等，用户可以直接通过手机访问；不会被手机安全应用拦截；转发方便；几无发送成本；终端送达率极高。iMessage通过AppleID来发现用户和发送信息。营销机构获得这些用户帐号的途径主要有两个：一是某些App会读取并私下记录用户的AppleID然后将其打包贩卖；另一种是通过特定程序对使用中的苹果设备进行扫描，以获取那些已经激活的iMessage账户信息，甚至手机号码。