平面摄影技术研习社

先别提挣1个亿,苹果用户的小目标是躲避最近的这几个坑

危机客 2017-12-06 16:49:59

正当果粉儿们都在翘首期盼下周即将发布的iPhone 7和iOS 10,近期却接连曝出针对iPhone和iOS的诸多安全风险,上周甚至还有人发现了iOS史上最大漏洞!


苹果更是迅速出击,紧急发布了补丁!这个漏洞能通过一个链接的点击,让你的iPhone、iPad在很短的时间被人劫持并远程操控!除此之外,最近还有几个专给苹果用户挖的新坑,1个亿还没挣到,别再把手机、银行卡搭进去被坑了!



iOS 9.3.5紧急修复史上最严重漏洞

就在一周前,苹果iOS 10的公测版本已经开通到了第6版,随着下月即将发布的iOS 10,果粉们都认为iOS 9即将谢幕,不会再有更新。结果,苹果急匆匆地发布了一个修补iPhone一连串安全漏洞的软件补丁iOS 9.3.5,在更新日志里只有一句:“提供了重要的安全性更新,推荐所有用户安装”。
 

据说,全球多个国家的政府已利用这些漏洞来对活动人士和新闻工作者实施监听。此前的iOS 9.3.4版本就是为修复安全漏洞而发的,这次的iOS 9.3.5则牵涉出了iOS历史上最大的一个漏洞——“三叉戟”。


这个“三叉戟”漏洞究竟有多牛X呢?

1、这组漏洞全部是0Day漏洞,即在曝光之前,除了漏洞的发现者,没有任何人知道这个漏洞的存在;
 
2、用户只需要轻轻点击黑客发来的的链接,手机就会被远程越狱,黑客瞬间获得手机的最高权限
 
3、利用最高权限,黑客可以远程对用户的iPhone进行操作、控制,查看手机摄像头、窃听用户谈话和录音、查看用户的应用信息,可以说是为所欲为
 
简单地说,黑客只需要利用一个链接,就可以彻底控制你的iPhone,相当于“远程越狱”!
 

这种级别的iOS漏洞一直是个江湖传说,人们经常说起,但就是没有人见过……



这么严重的漏洞是怎么被发现的呢?

大约两周以前,旧金山移动安全公司Lookout和多伦多大学(University of Toronto)蒙克全球事务学院公民实验室(Citizen Lab)的研究人员就此问题联系了苹果,并将所发现的这一组漏洞命名为“三叉戟”漏洞。 

这些研究人员是经阿联酋人权活动家艾哈迈德•曼苏尔(Ahmed Mansoor)提醒注意到这一攻击的。曼苏尔曾收到一条包含链接的短信,如果他点了那个链接,黑客就会获得对他的iPhone 6的几乎全部控制权。

这一用来瞄准曼苏尔等人的黑客工具,据信出自一家名为NSO Group的以色列创业型企业。该公司只面向政府销售其间谍软件,这类工具的售价可高达100万美元。


防止黑客入侵的方法:及时升到最新版!

就像我们电脑的Windows操作系统也时常提醒要漏洞修复一样,小危建议大家对手机和其他移动设备也能及时更新到最新版本无论是iPhone还是其他手机或智能终端,这样做都能有效保护我们免受潜在的安全攻击,降低风险。



iPhone日历弹垃圾广告?千万别点拒绝!

从前iMessage就经常收到各种“澳门赌场”的广告骚扰,关掉这个功能不用就好。最近,iOS系统日历也被无良广告商盯上了!
 

你是不是也收到过像下面这样突然弹出的提示信息,还以为是装了什么流氓APP,惊讶的发现这条信息居然来自iOS原生的系统日历……


 

打开这个提示信息的详情,发现了三个按钮“接受”、“可能”和“拒绝”,你也许烦不胜烦的随手点了个“拒绝”?……


等等!那你可就上了骗子的当了!



首先,小编先来给大家解释一下,无良广告商是如何把这条垃圾提醒发送到你的日历中的。

在iOS的原生日历中,当你创建一个日程事件,并在“被邀请人”处填写一个绑定了Apple ID(一般与 iCloud ID 一致)的邮箱地址,那么在你保存这个日程的同时,你填写的Apple ID使用的设备上也会同样出现这一条事件提醒。

无良广告商就是利用了这个功能,将他的广告内容写在“标题”中(这个功能目前对标题的字数是没有限制的),并把一批随机的邮箱地址填入“被邀请人”的位置,这样,一次广告群发轰炸就完成了!

 在看到垃圾广告的邀请信息后,如果你顺手就点击了刚刚说的三个按键之一的话,广告商就能收到含有你的用户姓名的回执!更细思恐极的是,你的姓名(即你在iCloud中设置的名字,很有可能是你的真实信息)就会暴露给广告商,个人各种敏感信息的泄露将带来相当大的风险!而且,他很可能只是随机的群发,你的回应恰恰证明了这个账号确实有人在使用,反而使你成为了下一次攻击的目标。
 

此外,即便是你不在这里点击,而是进入到日历应用中尝试把该事件删除同样会因为回复了“拒绝”而产生隐患



解决日历垃圾广告的三个办法

1
关闭iCloud中的日历同步

打开“设置”- “iCloud”,找到“日历”,关闭同步。关闭日历同步后,事实上 iCloud 还是会收到日程邀请,但是没有同步就不会给你的移动设备弹出通知,这样就避免了骚扰和误点“拒绝”而产生的风险。



2
修改iCloud邮箱
目前,由于这一招针对的主要是以QQ等国内电子邮箱为登录邮箱的iCloud账户,如果你依然想完整的使用日历功能,那么不妨修改你的Apple ID / iCloud邮箱,最好设置成一个你从未在互联网上泄露过的保密邮箱地址,并且一定是一个今后长期都可以随时安全登录的邮箱,避免将来忘记密码无法找回。
 
设置方法访问appleid.apple.com,登录 Apple ID 的账户,点击“账户”一栏最右侧的“编辑”,选择“编辑电子邮件地址”,更改 Apple ID 的关联邮箱即可。
 

需要注意的是:修改之后,你的 Apple ID 邮箱就被改掉了。因此任何一个登录了 Apple ID 的地方(比如 App Store、iCloud)都需要重新登录



3
试试别家的日历APP

其实如果懒得换Apple ID又觉得日历必不可少,在App Store中也可以搜索到不少替代的日历应用像Outlook、网易、QQ等大部分的主流邮箱APP实际上也都包含日历功能,并且有些同样具备邮件邀请等常用功能,所幸大概是因为用户基数较小,暂时还尚未被无良广告商盯上。



登录好友iCloud账号  iPhone被“黑”变砖

还记不记得小危曾经发过一篇“

其实与其说是新招,不如说是套路更深了。骗子会利用盗取的QQ、微信等聊天工具,逐一联系其“好友”,如果刚好你在其中,那么恭喜你,你就成为了骗子的小白鼠一号。
 

你的“好友”(被骗子盗走的账号)会声称他的手机被盗,需要借助你iPhone上的“查找位置”功能定位他的手机。他会告诉你操作流程:先把你iPhone上的iCloud账号注销,再用他提供的iCloud账户登录,接着,很快,你将发现你的手机自动关机,再次开机则进入丢失模式。


恭喜你,又上当了


 

这时,骗子已经远程给他的账户开启了“丢失模式”,而你手上的iPhone登的就是他的账户,除非你向他指定的账户转账“解锁费”,否则没有他的解锁密码,你的iPhone将无法使用


 
其实丢失模式”和“查找位置”本来是iOS防止iPhone丢失被盗导致的安全隐患而设置的一项保护措施,现在反被骗子利用来勒索正主儿,也着实让人啼笑皆非。
 

如果这个时候乖乖就范,虽然可以很快解锁恢复正常,但实际上,你正助长了这个黑色链条的进一步发展壮大!更何况,骗子是真的老老实实的收钱解锁,还是狮子大开口,那就不一定了。


所以真正靠谱的唯一解决途径,还是联系苹果的官方售后。据曾经中招的网友称,如果你能证明你是机主,苹果售后可以免费为你解锁,但是所需时间可能较长。


这些防坑技能
赶紧记住吧!

遇到“好友求助”——充值、借钱、帮忙激活、帮忙查找位置等,一定再三确认。能当面确认的不用电话确认,能电话确认的,不用短信、邮件确认,毕竟能求得上你帮忙的人,也不会介意你直接一个电话过去关心一下他吧!


但如果你连这位“好友”的其他联系方式都没有,劝你还是考虑一下对方会请你帮忙的可信度吧,虽然路见不平拔刀相助,但在见义勇为之前,毕竟要先保证自己的安全呀。

 
另外,不仅是iPhone用户,所有人都一定要重视手机、账号、密码等与安全相关的个人信息!!

关于账号安全的建议:

√注册重要账户(如Apple ID、支付宝、网银等)的时候,建议使用相对隐私、专属、未对外公开的邮箱账号;
√为你的重要账户(包括该邮箱账号)设置独有的、高安全性的密码(数字、英文、符号混合,位数尽量长)
√重要账户(包括该邮箱账号)一定要开启密码保护、二次验证


有关iCloud账号的任何操作,一定小心谨慎,千万不要在自己的iPhone上登陆别人的账号,如实在需帮忙查找,可在电脑上访问www.icloud.com。换句话说,如果你的朋友真的丢失了手机,找台电脑可能没有那么难吧?你要想到,他手机都丢了,是用什么联系你的呢?
 
妥善保留手机购买凭证和保修卡等资料,不论是手机被锁还是被盗,这些都是你证明机主身份的重要凭据。

END



小危提示
  仅仅分享给好友、转发到朋友圈,并不能帮你在危急存亡之际获得一线生机,让你自己和身边的人真正掌握生存技能才是硬道理!