购物 手机
佰佰安全网 > 佰佰资讯 > 安全要闻 > 信息安全 > 移动安全 > 正文

苹果系统被曝存安全漏洞


  • 要闻
  • 2015-06-19 14:20:11
  • 来源:新浪科技
  • 要闻
  • 分享
  • 要闻
  • 0
  • 要闻
  • 1545
  • 要闻
  • 收录
导语:2015年6月18日,有消息称,一群安全领域的专家发现苹果移动和桌面操作系统中存在一个安全漏洞,利用该漏洞,恶意应用可能会窃取用户的密码等个人信息。

6月18日,安全研究专家在苹果OS X和iOS中发现的重大漏洞可能给恶意软件敞开大门,导致用户的密码被盗,使用苹果系统用户者应小心了。

这个研究小组由6位安全领域的专家组成,他们利用发现的苹果操作系统的漏洞,制造了一个恶意软件,并将其以普通应用的形式伪装起来,上传到苹果的应用商店AppStore。一旦用户下载这款应用,其手机或电脑中现有应用的机密信息就会被恶意软件盗走。该研究团队负责人表示,通过这个恶意软件,他们可以在未经授权的情况下进入其他应用的敏感数据,例如iCloud的密码和图片、邮箱应用以及存储在GoogleChrome中的网络密码。

恶意应用可以借助这些漏洞进入App Store,以便绕过或忽略沙箱及其他安全保护措施,从其他应用的钥链中获取密码,窃取其他应用的隐私数据,劫持网络端口,并假扮不同的应用拦截某些对话。研究人员已经通过这些漏洞获取了用户保存在Evernote中的私密笔记,以及在微信中保存的照片。

苹果对iOS和OS X App Store的评估流程原本可以阻止恶意软件进入其系统。但如果这一壁垒失败,该公司就需要依靠沙箱,这种技术可以阻止应用访问不归其管理的数据——除非通过特殊渠道。

然而,有6位研究人员发现苹果的这一过程存在很多弱点,他们将其称作“未授权的跨应用资源获取”,简称XARA。

该团队的成员之一、印第安纳大学计算机科学教授王晓峰(XiaoFeng Wang,音译)接受采访时说:“OS X提供了丰富的功能,所以很容易受到攻击。”

研究人员表示,他们曾在2014年10月通知苹果,此后又两次将此事告知苹果,苹果当时表示需要6个月时间来修复漏洞。研究人员还称,苹果曾在今年2月向其索取论文。由于可以立刻借此部署恶意软件,因此这一漏洞被视作“零日漏洞”。

由于恶意软件必须首先进入App Store,因此可以最大限度地降低攻击强度。但不幸的是,研究人员已经能够提交破解这些漏洞的恶意应用,并且获得了苹果的许可。不过,由于这只是一次“概念验证”,因此他们在获得许可后立刻删除了该应用。

文章共阐述了4大漏洞,其中3个是OS X独有的,另外一个属于iOS。更多相关资讯,请继续关注佰佰安全网信息频道!


  • 关键词
  • 网络安全漏洞
为更好的为公众说明安全知识的重要性,本站引用了部分来源于网络的图片插图,无任何商业性目的。适用于《信息网络传播权保护条例》第六条“为介绍、评论某一作品或者说明某一问题,在向公众提供的作品中适当引用已经发表的作品”之规定。如果权利人认为受到影响,请与我方联系,我方核实后立即删除。


相关阅读

  • 评论
  • 评论
0人跟帖
以下网友言论不代表佰佰安全网观点 发表

您还可以输入200

关闭

今日关注

编辑热推

有种猝死专找年轻人!了解这些能救命
第454期  有种猝死专找年轻人!了...

热门排行

佰佰安全网送福利