不少iPhone用户发现,近期他们的手机频频收到陌生人发来的iMessage广告短信,内容涉及房产租售、打车软件、美食优惠、交友推广等众多行业。这些信息甚至同时出现在他们的iPad和MAC上。由于iMessage没有黑名单功能,除非彻底关闭这项服务,否则苹果用户只能默默忍受这些广告短信每天不停地骚扰。
使用Android手机的用户情况更糟,他们不仅同样要忍受各种广告短信的骚扰,还有可能因为下载了某个热门游戏而遭受损失。有安全厂商发现,近期走红的多款“疯狂猜”系列游戏,都出现被人植入恶意代码的情况,这些恶意代码轻则伪装成用户的联系人发送垃圾短信,重则窃取用户个人信息,或扣费等。
垃圾短信新温床
iMessage是苹果公司开发的免费即时通信服务,使用iPhone、iPad以及其他苹果设备的用户,可以在WiFi、3G等网络环境下相互传输信息。如果用户同时拥有多台苹果设备,且用同一个苹果账户登录,那么多台设备将同时接收到iMessage。
江小姐一直通过iMessage与同事和朋友联系,但最近她被迫关闭了这个功能,原因是她受不了每天都要收到iMessage发来的打车软件和美食广告信息。她的朋友圈里,不少人有类似遭遇,在这些iMessage短信中,一家名为“iCoupon”的机构最为常见。
“每次手机短信响起,满心欢喜地打开,结果却看到一条特别长又花里胡哨的广告短信,那种感觉糟透了。”让江小姐不解的是,这些垃圾短信是怎么找到自己的?
在威锋论坛、爱范儿等国内知名的苹果论坛上,对iMessage垃圾短信的“吐槽”近期直线上升,从这些用户反映的情况来看,iMessage垃圾短信主要集中在房产租售、打车软件、美食优惠、交友推广等行业,以及某些本地生活服务推广。果粉们形容苹果公司容忍垃圾短信通过iMessage肆虐的情况为“无节操”。
推广费用低于短信
今年一月份,苹果公司透露,iMessage日均发送短信的数量超过20亿条。为何它会成为垃圾短信传播的新渠道?
相对于普通短信,iMessage的优势明显。首先,iMessage能容纳更多的信息,普通短信每条字数限制在70字以内,而iMessage的文本可以支持1400字,并且,它还能够添加超链接、图片和符号表情。
并且,iMessage用户的“含金量”更高,推广价值更大。专门通过iMessage从事营销推广的某公司简介中就明确表示,它拥有1500万高学历、高收入、高阶层的iPhone用户,是各类商户“最受欢迎的目标群体”。
最重要的一个原因,是iMessage推广“性价比”很高。根据iCoupon的报价,若只发送文本信息,1万条iMessage需要1600元,平均0.16元/条;100万条iMessage需要10万元,平均0.10元/条。发送数量越多,越便宜。虽然单价与传统短信相差不多,但考虑到单条可发布的内容更多,iMessage的价格实际上要低得多。
三大运营商对于营销类短信群发管制相对比较严格,一次不能发送过多。但iMessage完全不受此限制,百万级的短信,也可以在数小时内发送完成。
扫描寻找苹果用户
iMessage通过Apple ID发现用户和发送信息,并不通过手机号码,营销机构从哪里获得这些用户的账户信息呢?
金山公司安全专家李铁军说,可能有两个渠道,一个是某些App(应用软件)读取并私下记录了用户的Apple ID,并将这些信息打包卖给营销机构。按照苹果的安全机制,如果用户的iPhone或iPad没有“越狱”,App是不能记录用户的Apple ID的,但已越狱用户不受此保护,尤其是一些所谓的越狱商店和越狱App,都有可能被植入某种代码,可以读取甚至记录用户的Apple ID。
另一种可能是通过特定程序对使用中的苹果设备进行扫描,以获取那些已经激活的iMessage账户信息,甚至手机号码。
根据《IT时报》的调查,目前国内已有iMessage营销公司就是通过这种方式,获取了大量的iMessage账户信息,它们甚至可以定位用户所在区域,以实现分区域推送。
前不久,“iCoupon”专门为其短信“扰民”发布一条致歉公告,缘由就是许多iMessage用户在毫不知情的情况下,收到这家机构发送的大量推广短信,且不能退订。
伪造成短信的恶意推送
如果说iPhone用户收到的iMessage广告短信还只是一种骚扰的话,使用Android手机的用户在收到垃圾短信时,不仅要忍受骚扰,更有可能直接遭受损失。
金山公司最近发现,流行手机游戏“疯狂猜”系列被人植入恶意代码,当用户下载安装这些游戏时,隐藏的恶意代码会伪造成手机短信向机主推送消息,其中一种恶意代码能读取用户手机通讯录并随意伪装成某个联系人。
金山公司安全专家李铁军说,以往的App在推送消息时,用户能判断是哪个App推送的,实在受不了骚扰可以将其卸载。但最近出现的这种推送方式,由于完全以手机短信形式出现,用户很难发现来自于哪个App,也就无法将其卸载。
这种推送方式的危害已经开始暴露。比如,有些推送内容本身并不显得怪异,但当用户触摸打开阅读时,它会在后台自动下载一个新的App,新的App可能存在“后门”,能收取用户的手机号码、邮箱、通讯录等信息,甚至进行恶意刷流量及扣费。如果用户没有定期清理手机App的习惯,这些未经授权就自动安装的App会一直存在用户的手机上。
据李铁军透露,其中一款含有“后门”程序的App,“由一家极具影响力的大公司运营”。
另据金山公司的统计,在Android平台,半数以上的App可以读取用户的手机号码、短消息、通讯录等信息。只要这些App的开发者愿意,他们就可以将这些数据打包卖给营销公司,或者直接向用户推送信息。
如何阻止垃圾短信
目前,还没有特别好的办法对付iMessage垃圾短信,最彻底的办法是在iPhone手机的设置里将iMessage功能关掉,但这样用户自己也没法使用。
如果用户不想关闭iMessage功能,在系统设置里将iMessage提醒设置为只针对通讯录,这样将看不到iMessage垃圾短信在手机桌面的推送提醒,但在短信界面,这些垃圾短信仍然存在。
已经越狱的iPhone,可以安装手机安全软件App,大部分此类App已经能够拦截iMessage垃圾短信。但越狱会增加手机的其他风险。
至于Android手机,李铁军说,Android平台过于开放和分散,论坛和应用商店过多,除非谷歌下决心像苹果一样封闭Android平台,否则恶意App就无法得到根治。目前用户可以做的,是尽量到正规的应用商店去下载App,如亚马逊市场、豌豆荚等,或者安装安全厂商推出的手机安全App,也能最大程度拦截恶意推送。
此外,李铁军还建议,Android用户在安装App时,要留意App有哪些权限,假如它能读取手机号码、短消息、通讯录等信息,用户要特别小心,因为有些App根本用不到这些信息,读取的目的就可能有问题。