近日，白帽汇监测到一种新的垃圾信息群发方法出现，即通过手机操作系统中的日历邀请功能来绕过垃圾邮件过滤机制，目前该方法暂时仅出现在iOS平台中。

事件起因

正常使用中的手机突然弹出来一条邀请信息，上面大概的内容是“xx娱乐城，网址xxx.com” 。大多数人在遇到这种情况时的第一反应估计是：我的手机是不是被别人控制了！？

实则不然，即使用户的手机和相关帐号都是正常且安全的，也有可能出现此类现象。据了解，弹出这条信息的其实是这部iPhone手机系统自带的日历功能，正常情况下一般用于向朋友、同事或家人发出活动或会议邀请，使用起来方便快捷。让人佩服的是，目前这个功能也被怀有不良居心的人打起了歪主意。

深入分析

通过白帽汇安全团队的研究发现，如果用户将iPhone系统日历与iCloud日历进行同步，便有可能会在iPhone中收到提示并且显示由不法分子预设的垃圾信息，而在使用同样帐号登陆的iPad或MacBook等已联网的iOS或Mac OS设备中，都会出现同样的消息提示信息。而这种方式由于并不经过邮件系统，导致我们的垃圾邮件防御机制无法起到作用。

从目前用户提交的相关案例中可以看到，发送者首先会去获取一批邮箱地址，之后将其视为被邀请者的iCloud帐号去随机发送邀请。邀请信息中包括相关文字和链接。此类内容被邀请者收到后可直接打开，并不会出发任何拦截提示。

网络上可搜索到此事件最早的记录为今年6月，至7月底8月初时逐渐增长至集中爆发态势。

在百度中搜索“苹果 日历 广告”关键词的结果显示如下：

在微博中搜索到的案例如下：日期显示为7月的14日,该方法目前也没有受到任何的修复错误。

另外，白帽汇同时还测试了Gmail和微软的Outlook邮箱日历功能，并发现其也能够向iOS日历发送相关邀请。

对用户的建议

目前白帽汇建议用户在收到此类垃圾信息时，切勿点击任何链接，同时也不要理会。此类邀请信息底部一般有系统提供的三个选项，即“接受”、“可能”和“拒绝”。不论用户点击了哪个选项，发送者端都会显示回复者的真实姓名，直接造成用户敏感信息的泄漏。在拥有用户邮件地址和真实姓名后，不排除发送者会有进一步的钓鱼攻击等诈骗行为。如果希望避免收到此类邀请，则可在iOS的设置中进入“邮件、通讯录、日历”选项，找到并关闭其中的 “邮件中找到的事件”选项；

解决方案

白帽汇已经通过相关渠道尝试与苹果进行沟通，并给出了相关防护建议，即对日历的邀请内容加入垃圾信息过滤处理，防止被恶意利用。

作者：白帽汇