蘋果XARA漏洞 90%官方APP可洩露敏感資訊
- 發佈時間:2015-06-24 01:31:17 來源:科技日報 責任編輯:羅伯特
儘管安全研究人員在九個月之前就警告了蘋果的零日漏洞,但iPhone手機和Mac電腦至今還存在這些嚴重的漏洞。
美國兩所大學和中國北京大學在他們的聯合發表的論文中表示,在iOS和Mac OS X中存在的漏洞可以被利用來盜取密碼。研究人員先把惡意軟體上傳到蘋果商店公開發售,蘋果的掃描機制不會發出警報並阻止。這些惡意應用能夠盜取併發送設備中的各種密碼,包括iCloud,郵件以及存在谷歌Chrome中的所有密碼。
OS X中的應用沙箱設計是有漏洞的,它把應用本身的目錄暴露給被沙盒過的惡意軟體,而這個惡意軟體劫持了蘋果Bundle ID。
因此,像Evernote中的筆記、聯繫人以及微信中的照片等敏感用戶數據,就都被暴露給惡意程式了。從根本上來説,這些問題是缺乏應用到應用,應用到作業系統的認證造成的。
每一個安卓應用都被賦予一個唯一的UID並以用戶許可權運作,在這種進程保護機制下,自動的隔離了不同的應用。而蘋果的系統平臺只是使用UID把應用分成不同的組。
因此,由於“缺乏應用到應用,應用到作業系統的認證”,應用中的密碼並沒有得到足夠的保護。攻擊者得以實施未授權的跨應用的資源訪問,因此該漏洞被稱為XARA(Cross-App Resource Access)。
蘋果官方應用商店中的免費OS X和iOS的1612款應用中,約90%屬於“完全暴露”在這種攻擊之下。
蘋果的一位發言人日前稱,正在調查相關問題。(李煒)
- 股票名稱 最新價 漲跌幅
