观察 分析

显示 收起

苹果遭遇信任危机 APP漏洞曝光(3)

黑客利用设备信息可用于远程控制

代码分析结果显示,上报的信息包括App版本、App名称、本地语言、iOS版本、设备类型和国家码等信息。这些信息虽然不涉及到个人用户的隐私,但是可以精准地对不同的iOS设备进行区分。未经证实的前述声明也表示,其代码可以获取的只有App的基本信息。

这意味着,通过上报信息区分每一台iOS设备后,黑客可以通过iOSopenURL这个API随时随地给任何人下伪协议指令。

“这时候黑客已经可以控制你的手机,达到他想要做的任何事情。”有安全专家向腾讯科技解释,“浏览网页、打电话发短只是最常见的功能,甚至可以对具备该伪协议的第三方App进行操作。”

不仅如此,黑客还可以控制弹出任何对话框,对用户进行诱导进行更进一步的安全危害。腾讯安全应急响应中心甚至发现,利用该恶意代码的漏洞甚至可以被中间人攻击。后者是一种黑客常用的古老攻击手段。

此外,腾讯安全应急响应中心还发现,除了已使用的上报域名地址“icloud-analysis.com”,此次还发现了其他三个尚未使用的域名。如果不是及时遏制,其影响范围可能进一步扩大。

点击展开全文
↓ 往下拉,下面的文章更精彩 ↓