文/圖 錢盾反詐平臺 刀勒
自古以來iOS上的短信對各個app都是禁區,沒有一個app能夠獲取用戶短信的內容�����,這一現狀將在iOS 11終結���,在iOS 11 beta 1出來以后,我們發現新增了SMS fraud extension(惡意短信攔截插件),該插件在經過用戶的授權后可以用于攔截用戶的惡意短信����。為了更好地保護老百姓的資金安全�,錢盾反詐平臺時間對這個功能做了分析�����。
效果演示:
效果說明:
? 開啟路徑還是比較長:通用->信息->未知與垃圾信息
? 被過濾的短信不是刪掉,而是歸類于“過濾短信”這個分類里
? 打開被過濾的短信內容,里面有短信過濾插件的品牌展示
? iMessage不能被過濾
? 只有當短信的發送方不在聯系人列表里的時候信息app才會把信息相關內容發給SMS fraud extension
? 如果用戶安裝了多個SMS fraud extension插件�����,同一時間只能enable一個
? SMS fraud extension可以獲取到的內容包括短信發送方和短信內容���,不包含收件人手機號
實現機制:
-
信息app(用戶)收到一條SMS或者MMS
-
信息app將短信的發送號碼和短信內容發給SMS fraud extension進行檢測
-
SMS fraud extension可以使用本地數據進行離線檢測����,也可以線上實時檢測����。如果實時檢測的話,由于SMS fraud extension沒有網絡請求的權限�,只能委托信息app將短信相關內容發往SMS fraud extension對應的后臺server�����。
-
SMS fraud extension后臺server檢測短信的安全性并將結果返回給信息app
-
信息app將服務器結果轉發回SMS fraud extension
-
SMS fraud extension解析服務器返回內容�����,確定短信安全性,將action返回信息app
-
信息app根據SMS fraud extension返回的action來決定放行或過濾該信息
隱私保護:
結合蘋果的文檔來看�,SMS fraud extension可以拿到短信內容���,當傳到服務器之后服務器也拿到了短信內容,但是蘋果通過以下幾個限制保證了該短信內容無法跟用戶對應起來:
? SMS fraud extension寫入的本地存儲不能與containing app共享�,也就是說containing app無法拿到短信相關內容并上傳或分析�。
? SMS fraud extension本身不可以發起網絡請求�,與服務端的交互必須委托信息app來完成,信息app在發起請求的時候不會攜帶任何用戶和機器相關的信息���。服務端拿到的用戶環境相關信息只有IP���,而單靠IP是無法跟用戶對應起來的��。
? 信息app發起請求時訪問的URL要求必須配置是存放在SMS fraud extension的info.plist里,這就保證了SMS fraud extension和containing app都不能動態地修改該URL����,不能通過給每一個用戶配一個特殊的URL的方式來跟蹤用戶���。
結論:
從蘋果采取的隱私保護機制來看,SMS fraud extension和其后端對應的服務器可以獲取到用戶的短信發送方及短信內容��,但是以目前的實現機制來看無法將短信內容對應到具體的用戶,所以是相對安全����。
