蘋果系統(tǒng)現(xiàn)嚴(yán)重漏洞 危及用戶密碼

發(fā)布: 2015-06-18 09:32 | 作者: MSCBSC | 來源: 新浪科技 | 字體:       

相關(guān)專題: 密碼 用戶 蘋果 北京時間

    北京時間618日早間消息,安全研究人員在蘋果OS XiOS中發(fā)現(xiàn)的重大漏洞可能給惡意軟件敞開大門,導(dǎo)致用戶的密碼被盜。

 

  惡意應(yīng)用可以借助這些漏洞進(jìn)入App Store,以便繞過或忽略沙箱及其他安全保護(hù)措施,從其他應(yīng)用的鑰鏈中獲取密碼,竊取其他應(yīng)用的隱私數(shù)據(jù),劫持網(wǎng)絡(luò)端口,并假扮不同的應(yīng)用攔截某些對話。研究人員已經(jīng)通過這些漏洞獲取了用戶保存在Evernote中的私密筆記,以及在微信中保存的照片。

 

  蘋果對iOSOS X App Store的評估流程原本可以阻止惡意軟件進(jìn)入其系統(tǒng)。但如果這一壁壘失敗,該公司就需要依靠沙箱,這種技術(shù)可以阻止應(yīng)用訪問不歸其管理的數(shù)據(jù)——除非通過特殊渠道。

 

  然而,有6位研究人員發(fā)現(xiàn)蘋果的這一過程存在很多弱點,他們將其稱作“未授權(quán)的跨應(yīng)用資源獲取”,簡稱XARA。

 

  該團(tuán)隊的成員之一、印第安納大學(xué)計算機科學(xué)教授王曉峰(XiaoFeng Wang,音譯)接受采訪時說:“OS X提供了豐富的功能,所以很容易受到攻擊�!�

 

  研究人員表示,他們曾在201410月通知蘋果,此后又兩次將此事告知蘋果,蘋果當(dāng)時表示需要6個月時間來修復(fù)漏洞。研究人員還稱,蘋果曾在今年2月向其索取論文。由于可以立刻借此部署惡意軟件,因此這一漏洞被視作“零日漏洞”。

 

  由于惡意軟件必須首先進(jìn)入App Store,因此可以最大限度地降低攻擊強度。但不幸的是,研究人員已經(jīng)能夠提交破解這些漏洞的惡意應(yīng)用,并且獲得了蘋果的許可。不過,由于這只是一次“概念驗證”,因此他們在獲得許可后立刻刪除了該應(yīng)用。

 

  這篇論文共闡述了4大漏洞,其中3個是OS X獨有的,另外一個屬于iOS。(書聿)


掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
    		•

    本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息