热门应用滥用苹果 iPhone 推送通知，暗中窃取用户数据;黑客盯上的不是密码，而是Cookie

热门应用滥用苹果 iPhone 推送通知，暗中窃取用户数据;

移动研究人员 Tommy Mysk 近日揭露，部分热门应用利用 iPhone 推送通知功能秘密发送用户数据，这引发了用户隐私安全担忧。

许多 iOS 应用程序正在使用由推送通知触发的后台进程来收集设备的用户数据，从而有可能创建用于跟踪的指纹档案。Mysk 指出，这些应用程序绕过了苹果公司的后台应用程序活动限制，对 iPhone 用户构成了隐私风险。

苹果应用商店审查指南中有这样一段话：应用程序不应试图根据收集到的数据偷偷建立用户档案，也不得试图、协助或鼓励他人识别匿名用户，或根据从苹果提供的应用程序接口收集到的数据重建用户档案。

唤醒并收集数据

为防止资源消耗和提高安全性，苹果公司在最初设计 iOS 时就允许应用程序在后台运行。在用户不使用应用程序时，它们就会被暂停并最终终止，因此无法监控或干扰前台活动。

不过，在 iOS 10 中，苹果引入了一个新系统，允许应用程序在后台悄悄启动，以便在设备显示新推送通知之前处理它们。

该系统允许接收推送通知的应用程序解密传入的有效载荷，并从其服务器下载更多内容，以丰富推送通知的内容，然后再提供给用户。完成这一步后，应用程序会再次终止。

通过测试，Mysk 发现许多应用程序滥用了这一功能，将其作为向其服务器发送设备数据的“机会之窗”。根据应用程序的不同，涉及的数据包括系统运行时间、地域、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示亮度等等。

推送通知到达时 LinkedIn 的网络数据交换
来源：Mysk

研究人员认为，这些数据可用于指纹识别/用户特征分析，从而实现持续跟踪，而这在 iOS 系统中是被严格禁止的。

Mysk 在 Twitter 上表示：通过这次测试，可以看到这种做法比预想的更为普遍。许多应用程序在被通知触发后发送设备信息的频率令人震惊。

Mysk 在一段视频中演示了这一做法，他指出，苹果在 iOS 10 中引入的一项推送通知自定义功能被部分开发者“别有用心”地利用了，该功能原本是为了让应用丰富通知内容或解密加密信息，但一些开发商却将其用于更隐蔽的数据传输。Mysk 发现，包括 TikTok、Facebook、Twitter、领英和必应等在内的多个热门应用，正在利用推送通知的短暂后台执行时间，发送用户分析信息。

苹果将通过加强对使用设备信号 API 的限制来堵住漏洞，防止推送通知唤醒功能被进一步滥用。从 2024 年春季开始，应用程序将被要求准确声明为什么需要使用可能被滥用于指纹识别的 API。

这些 API 可用于检索设备信息，如磁盘空间、系统启动时间、文件时间戳、活动键盘和用户默认设置。

苹果表示，如果应用程序没有正确声明其使用这些 API 的情况和用途，就不能在 App Store 上架。

在此之前，希望避免这种指纹识别的 iPhone 用户应禁用推送通知。但将通知设置为静音并不能防止滥用，想要禁用通知，需打开 "设置"，前往 "通知"，选择要管理通知的应用程序，然后点击切换按钮禁用 "允许通知"。

2023年12 月，有消息称美国政府要求通过苹果和谷歌服务器发送推送通知记录，以此来监视用户。但苹果表示，美国政府禁止他们分享有关这些请求的任何信息，并在此后更新了他们的透明度报告。

黑客盯上的不是密码，而是Cookie

无论用户设置了多长的密码，如果恶意软件感染设备并发现了一些Cookie，账户都会存在被窃风险。

据 Cybernews 在1月初的报道，黑客正在利用授权协议 OAuth2 的新漏洞劫持 Google 帐户，并在 IP 或密码重置的情况下通过重新生成 Cookie来保持持久性。

前 FBI 数字犯罪专家、现任 SpyCloud 实验室副总裁特雷弗·希利戈斯（Trevor Hilligoss）在接受 Cybernews 采访时警告称，所有 Cookie 都容易受到攻击，是危害谷歌或其他帐户的唯一手段，最近发现的 OAuth 漏洞证明了这一点。

SpyCloud 实验室副总裁特雷弗·希利戈斯（Trevor Hilligoss）

希利戈斯指出，Cookie 盗窃并不是绕过身份验证的新策略，有效的 Cookie 可以导入犯罪分子的系统，从而欺骗受害者的设备。

这种方法的兴起是由于许多用户现在使用多重身份验证，盗窃密码变得困难，但同时很少有人真正了解 Cookie 盗窃的严重性以及预防的难度。

希利戈斯以谷歌账户举例，认为它是对犯罪分子最具吸引力的帐户之一，因为其中包含了大量重要的个人、税务和其他信息，还可以用于重置其他服务的密码。

“如果我进入你的 Gmail 帐户，我敢打赌我可以使用你的 Google 帐户重置你的 Facebook 密码。我在半夜这样做。直到早上你才会意识到这一点，”Hilligoss 向 Cybernews 解释道，“犯罪分子每天都在这样做。”

为什么Cookie 如此重要？

几年前，当多重身份验证 (MFA) 尚未普及时，大多数人仍然仅使用用户名和密码进入帐户。如今，MFA 随处可见，因为它是阻止简单撞库攻击的有效方法，而与此同时，黑客也适应了这一趋势，开始瞄准Cookie 。

去年，当攻击者利用谷歌的Cookie 撤销策略发现了其中的零日漏洞时，该漏洞很快就被集成到多个信息窃取程序中。

一般而言，身份验证Cookie会确定用户与服务会话的到期时间，时长可从几分钟到几个月，到期后需要重新进行身份验证。攻击者可以访问 cookie 和设备信息，不再需要知道密码和安全密码或有权访问帐户恢复选项。

攻击者很容易窃Cookie吗？

希利戈斯认为，恶意软件在这方面已经变得非常擅长。目前，大多数浏览器将Cookie 存储在本地数据库中，当用户访问银行网站，输入用户名和密码并单击登录后。服务器将为用户浏览器提供一个唯一的 Cookie，浏览器会将该Cookie 保存到用户设备上的本地数据库中，因此当用户下次访问该网站时，会自动将该 Cookie 与为该网站保存的任何其他服务的Cookie 一起提供。

而恶意软件就像浏览器一样，会访问同一个数据库，检查是否有银行或其他服务的Cookie。然后将这些Cookie导出到用户设备本地的一个文件中，与其他系统和用户信息捆绑在一起发送给攻击者。目前有很多开源和免费软件可以帮助攻击者导入 Cookie，将他们的系统设置成与用户相似，从而欺骗性地让浏览器认为运行的是用户的系统，如此一来，攻击者就可以访问用户 Gmail 或其他账户。

"说到底，每个 Cookie 本身都是脆弱的，但问题在于攻击设备的恶意软件，而不是Cookie 本身，”希利戈斯说道。

犯罪分子花几百美元租用强大的恶意软件

希利戈斯所属的 SpyCloud 实验室正专门从事暗网研究和违规数据分析，他们发现了一个强大的信息窃取程序 LummaC2，其中利用了OAuth2的最新漏洞。该程序提供按月定价方案，其中最便宜的 "Experienced "计划为 250 美元/月，"Professional "计划为 500 美元/月，而 "Corporate "计划的价格为1000 美元/月。

LummaC2在暗网发布的贴子

希利戈斯将这类恶意软件即服务模式比作 "五岁小孩拿手榴弹"，其中不断更新的技术让没有编码经验的人都能够操纵它实施攻击。他还注意到去年信息窃取程序的新进展比以往任何一年都多，推出了可以窃取远程桌面设备配置文件的模块。