苹果遭遇信任危机 APP漏洞曝光（3）

黑客利用设备信息可用于远程控制

代码分析结果显示，上报的信息包括App版本、App名称、本地语言、iOS版本、设备类型和国家码等信息。这些信息虽然不涉及到个人用户的隐私，但是可以精准地对不同的iOS设备进行区分。未经证实的前述声明也表示，其代码可以获取的只有App的基本信息。

这意味着，通过上报信息区分每一台iOS设备后，黑客可以通过iOSopenURL这个API随时随地给任何人下伪协议指令。

“这时候黑客已经可以控制你的手机，达到他想要做的任何事情。”有安全专家向腾讯科技解释，“浏览网页、打电话发短只是最常见的功能，甚至可以对具备该伪协议的第三方App进行操作。”

不仅如此，黑客还可以控制弹出任何对话框，对用户进行诱导进行更进一步的安全危害。腾讯安全应急响应中心甚至发现，利用该恶意代码的漏洞甚至可以被中间人攻击。后者是一种黑客常用的古老攻击手段。

此外，腾讯安全应急响应中心还发现，除了已使用的上报域名地址“icloud-analysis.com”，此次还发现了其他三个尚未使用的域名。如果不是及时遏制，其影响范围可能进一步扩大。