微信、支付寶發出緊急聲明，FaceTime有隐患

今天小編分享的科技經驗：微信、支付寶發出緊急聲明，FaceTime有隐患，歡迎閲讀。

電信詐騙，或許是互聯網技術發展帶來的負面影響一種表現形式。

無論是在社區裏随處可見的反詐騙宣傳标語，還是大力推廣的 " 國家反詐中心 "App 都指向了一個事實，那就是電信詐騙如今已經并鮮見。而得益于反詐 App 的幫助，現在以電話形式進行詐騙往往都會被标記出來、讓大家提起警惕，但反詐 App 也有鞭長莫及的領網域。

日前，微信安全中心與支付寶方面發布公告稱，近期國内短時間出現了大量基于 FaceTime 的詐騙案例，騙子假冒 " 微信客服中心 " 或 " 支付寶客服 " 等身份，使用蘋果手機的 FaceTime 功能向用户發起視頻通話，進而實施詐騙。

已經有網友在社交平台上透露，收到了顯示為支付寶客服中心、騰訊微信客服中心、微信回訪中心、京東客服熱線等名稱的來電，甚至直接還喊出了自己的全名。

對此微信方面發布聲明稱，微信不會以 FaceTime 的方式來聯系用户，但凡用這種方式就是仿冒、不要接聽，并請廣大用户警惕陌生 FaceTime 來電、避免受騙。

作為一個蘋果早在 iPhone 4 時代就已推出的功能，FaceTime 提供的面對面網絡對話幾乎是彼時為 iPhone 量身打造的賣點，它可以通過 WiFi 或者蜂窩數據接入互聯網，并在兩個支持 FaceTime 的設備間實現視頻通話。

其實 FaceTime 本質上就是 VoIP 網絡電話，它采用了變種的 SIP 協定，而後者則是一種用于建立、修改和終止多媒體會話的協定。

綜合過去十餘年間的不同報道和分析，FaceTime 使用的是端口 5223（也是蘋果推送通知服務采用的端口）來與蘋果的伺服器建立 TCP 連接，設備本身則可以通過蘋果伺服器上注冊的電話号碼或電子郵件地址來進行識别。

當所有協商和網絡遍歷結束時，蘋果伺服器就會下發一個 SIP INVITE 消息，這條消息包含了人名以及帶寬要求和呼叫參數。而在呼叫建立之後，蘋果方面會通過一系列 SIP MESSAGE 數據包對設備進行身份驗證。

根據蘋果官網公布的信息顯示，用户使用 FaceTime 通話時，通訊内容在各個設備上都會受到端對端加密（E2EE）的保護，以确保即便蘋果也無法讀取設備之間傳輸的内容。

從本質上來説，端到端加密是一種對數據進行加擾的方法，因此它只能在兩端讀取、即由發送者和接收者來讀取，任何第三方都無法讀取受 E2EE 保護的信息、即使中間人可以破壞和攔截通信。

這也就意味着，即使是蘋果也不知道使用 FaceTime 的雙方究竟聊了些什麼。所以這一特質，就導致了蘋果無法像反詐 App 一樣在詐騙發起時進行提前預警。

如果説端到端加密讓蘋果在面對黑灰產使用 FaceTime 作為工具攻擊用户時束手束腳，那麼 FaceTime 作為一個蘋果強調 iPhone 特殊性的功能，也從客觀上使得其不自覺地會被黑產利用。

由于 FaceTime 通話的基礎是雙方都使用的是蘋果設備，其中包括 iPhone、iPad、Mac，但對方的通訊錄裏面可以沒有你、你的通訊錄裏面也可以沒有對方，也就是雙方都沒有在通訊錄裏面也能使用 FaceTime。這本來是蘋果方面為了凸顯 iPhone 獨特性進行的設計，卻導致了黑灰產不需要知道用户的電話号碼、只要有 Apple ID 即可。

但是問題由此也就來了，盡管 Apple ID 在蘋果生态内的地位十分重要，但獲取它的難度反而卻很低。由于 Apple ID 基本是使用電子郵箱注冊，并且國内市場的 Apple ID 必須與一個經過驗證的本地電話号碼相關聯，因此也就代表只需要知道電子郵箱或電話号碼即可獲得 Apple ID。

通常來説，黑灰產根本就不需要知道你的準确 Apple ID，因為他們往往都是大批量群發，比如統一發送給前幾位 QQ 号相同、但尾号從 000 一直到 999 号碼段，也就是總計 1000 個 QQ 郵箱。

廣撒網還只是最初級的方式，更加進階的手段就是購買黑客從互聯網廠商或企業數據庫中拖拽下來的用户數據。事實上，如今數據黑市可謂是 " 欣欣向榮 "，各類用户數據只要有錢幾乎就能買到。在數據泄露已經較為嚴重的情況下，從事電信詐騙的黑灰產團隊往往是按圖索骥，所以也就難怪會出現騙子能精準報出你姓名、身份證号、電話等信息的情況。

更關鍵的問題是，FaceTime 還可以自定義名稱，這其實是蘋果在 iOS 12.1 中開始提供的功能，就是在 FaceTime 群組中可以設定自定義名稱來替代号碼或郵箱。

黑灰產所使用的方式，是在撥出電話時提前拉取群組，這樣受害者收到的來電上就會自動顯示自定義的名稱，其實這一招在當初 iMessage 發送垃圾信息的時就已經被廣泛應用了。

由于國内用户往往對 FaceTime 較為陌生，因此在看到黑灰產偽裝的 XX 客服中心發來 FaceTime 通話時，可能根本就意識不到這一通話并非常規意義上的電話，而是可以被偽裝、且不受監管的 FaceTime，最終讓受害者先入為主的認為這就是 XX 客服來電。其實不僅僅是 FaceTime，華為的暢連也是重災區，因為兩者都是 VoIP 的變種、難以被有效監管。

所以歸根結底，對于用户隐私的保護束縛了蘋果的 " 決策邊界 "。高舉個人隐私大旗是蘋果自 Meta 的劍橋分析醜聞爆發以來，市場宣傳中的重要組成部分，其不遺餘力地宣傳自己對于用户隐私的全方位保護，從此前 CES 會場外的巨幅廣告、到限制廣告商的應用追蹤透明度，蘋果一直在為用户隐私數據保駕護航的形象也早已深入人心，并且這也有相當一部分注重個人隐私的消費者選擇 iPhone、而非安卓手機的原因。

雖然蘋果吃到了保護用户隐私的紅利，但黑灰產通過 FaceTime 實施詐騙就是代價了。

蘋果方面也幾乎不太可能因為寥寥可數的 FaceTime 詐騙、而從底層重構 FaceTime，畢竟放棄端到端加密就等同于否定此前的隐私政策，這就造成了蘋果對于黑灰產扭曲 FaceTime 乃至 iMessage 時無可奈何的困境。所以在指望蘋果有所行動不現實的情況下，唯有用户自己提高警惕才是更現實的方式。