微信、支付宝发出紧急声明，FaceTime有隐患

今天小编分享的科技经验：微信、支付宝发出紧急声明，FaceTime有隐患，欢迎阅读。

电信诈骗，或许是互联网技术发展带来的负面影响一种表现形式。

无论是在社区里随处可见的反诈骗宣传标语，还是大力推广的 " 国家反诈中心 "App 都指向了一个事实，那就是电信诈骗如今已经并鲜见。而得益于反诈 App 的帮助，现在以电话形式进行诈骗往往都会被标记出来、让大家提起警惕，但反诈 App 也有鞭长莫及的领網域。

日前，微信安全中心与支付宝方面发布公告称，近期国内短时间出现了大量基于 FaceTime 的诈骗案例，骗子假冒 " 微信客服中心 " 或 " 支付宝客服 " 等身份，使用苹果手机的 FaceTime 功能向用户发起视频通话，进而实施诈骗。

已经有网友在社交平台上透露，收到了显示为支付宝客服中心、腾讯微信客服中心、微信回访中心、京东客服热线等名称的来电，甚至直接还喊出了自己的全名。

对此微信方面发布声明称，微信不会以 FaceTime 的方式来联系用户，但凡用这种方式就是仿冒、不要接听，并请广大用户警惕陌生 FaceTime 来电、避免受骗。

作为一个苹果早在 iPhone 4 时代就已推出的功能，FaceTime 提供的面对面网络对话几乎是彼时为 iPhone 量身打造的卖点，它可以通过 WiFi 或者蜂窝数据接入互联网，并在两个支持 FaceTime 的设备间实现视频通话。

其实 FaceTime 本质上就是 VoIP 网络电话，它采用了变种的 SIP 協定，而后者则是一种用于建立、修改和终止多媒体会话的協定。

综合过去十余年间的不同报道和分析，FaceTime 使用的是端口 5223（也是苹果推送通知服务采用的端口）来与苹果的伺服器建立 TCP 连接，设备本身则可以通过苹果伺服器上注册的电话号码或电子邮件地址来进行识别。

当所有协商和网络遍历结束时，苹果伺服器就会下发一个 SIP INVITE 消息，这条消息包含了人名以及带宽要求和呼叫参数。而在呼叫建立之后，苹果方面会通过一系列 SIP MESSAGE 数据包对设备进行身份验证。

根据苹果官网公布的信息显示，用户使用 FaceTime 通话时，通讯内容在各个设备上都会受到端对端加密（E2EE）的保护，以确保即便苹果也无法读取设备之间传输的内容。

从本质上来说，端到端加密是一种对数据进行加扰的方法，因此它只能在两端读取、即由发送者和接收者来读取，任何第三方都无法读取受 E2EE 保护的信息、即使中间人可以破坏和拦截通信。

这也就意味着，即使是苹果也不知道使用 FaceTime 的双方究竟聊了些什么。所以这一特质，就导致了苹果无法像反诈 App 一样在诈骗发起时进行提前预警。

如果说端到端加密让苹果在面对黑灰产使用 FaceTime 作为工具攻击用户时束手束脚，那么 FaceTime 作为一个苹果强调 iPhone 特殊性的功能，也从客观上使得其不自觉地会被黑产利用。

由于 FaceTime 通话的基础是双方都使用的是苹果设备，其中包括 iPhone、iPad、Mac，但对方的通讯录里面可以没有你、你的通讯录里面也可以没有对方，也就是双方都没有在通讯录里面也能使用 FaceTime。这本来是苹果方面为了凸显 iPhone 独特性进行的设计，却导致了黑灰产不需要知道用户的电话号码、只要有 Apple ID 即可。

但是问题由此也就来了，尽管 Apple ID 在苹果生态内的地位十分重要，但获取它的难度反而却很低。由于 Apple ID 基本是使用电子邮箱注册，并且国内市场的 Apple ID 必须与一个经过验证的本地电话号码相关联，因此也就代表只需要知道电子邮箱或电话号码即可获得 Apple ID。

通常来说，黑灰产根本就不需要知道你的准确 Apple ID，因为他们往往都是大批量群发，比如统一发送给前几位 QQ 号相同、但尾号从 000 一直到 999 号码段，也就是总计 1000 个 QQ 邮箱。

广撒网还只是最初级的方式，更加进阶的手段就是购买黑客从互联网厂商或企业数据库中拖拽下来的用户数据。事实上，如今数据黑市可谓是 " 欣欣向荣 "，各类用户数据只要有钱几乎就能买到。在数据泄露已经较为严重的情况下，从事电信诈骗的黑灰产团队往往是按图索骥，所以也就难怪会出现骗子能精准报出你姓名、身份证号、电话等信息的情况。

更关键的问题是，FaceTime 还可以自定义名称，这其实是苹果在 iOS 12.1 中开始提供的功能，就是在 FaceTime 群组中可以設定自定义名称来替代号码或邮箱。

黑灰产所使用的方式，是在拨出电话时提前拉取群组，这样受害者收到的来电上就会自动显示自定义的名称，其实这一招在当初 iMessage 发送垃圾信息的时就已经被广泛应用了。

由于国内用户往往对 FaceTime 较为陌生，因此在看到黑灰产伪装的 XX 客服中心发来 FaceTime 通话时，可能根本就意识不到这一通话并非常规意义上的电话，而是可以被伪装、且不受监管的 FaceTime，最终让受害者先入为主的认为这就是 XX 客服来电。其实不仅仅是 FaceTime，华为的畅连也是重灾区，因为两者都是 VoIP 的变种、难以被有效监管。

所以归根结底，对于用户隐私的保护束缚了苹果的 " 决策边界 "。高举个人隐私大旗是苹果自 Meta 的剑桥分析丑闻爆发以来，市场宣传中的重要组成部分，其不遗余力地宣传自己对于用户隐私的全方位保护，从此前 CES 会场外的巨幅广告、到限制广告商的应用追踪透明度，苹果一直在为用户隐私数据保驾护航的形象也早已深入人心，并且这也有相当一部分注重个人隐私的消费者选择 iPhone、而非安卓手机的原因。

虽然苹果吃到了保护用户隐私的红利，但黑灰产通过 FaceTime 实施诈骗就是代价了。

苹果方面也几乎不太可能因为寥寥可数的 FaceTime 诈骗、而从底层重构 FaceTime，毕竟放弃端到端加密就等同于否定此前的隐私政策，这就造成了苹果对于黑灰产扭曲 FaceTime 乃至 iMessage 时无可奈何的困境。所以在指望苹果有所行动不现实的情况下，唯有用户自己提高警惕才是更现实的方式。