苹果系统现严重漏洞 恶意程序可盗取用户密码

　　安全研究人员在苹果OS X和iOS中发现的重大漏洞可能给恶意软件敞开大门，导致用户的密码被盗。

　　恶意应用可以借助这些漏洞进入App Store，以便绕过或忽略沙箱及其他安全保护措施，从其他应用的钥链中获取密码，窃取其他应用的隐私数据，劫持网络端口，并假扮不同的应用拦截某些对话。研究人员已经通过这些漏洞获取了Evernote中的私密笔记，以及微信中保存的照片。

　　苹果对iOS和OS X App Store的评估流程原本可以阻止恶意软件进入其系统。但如果这一壁垒失败，该公司就需要依靠沙箱，这种技术可以阻止应用访问不归其管理的数据——除非通过特殊渠道。

　　然而，有6位研究人员发现苹果的这一过程存在很多弱点，他们将其称作“未授权的跨应用资源获取”，简称XARA。

　　该团队的成员之一、印第安纳大学计算机科学教授王晓峰(XiaoFeng Wang，音译)接受采访时说：“OS X提供了丰富的功能，所以很容易受到攻击。”

　　研究人员表示，他们曾在2014年10月通知苹果，此后又两次将此事告知苹果，苹果当时表示需要6个月时间来修复漏洞。研究人员还称，苹果曾在今年2月向其索取论文。由于可以立刻借此部署恶意软件，因此这一漏洞被视作“零日漏洞”。

　　由于恶意软件必须首先进入App Store，因此可以最大限度地降低攻击强度。但不幸的是，研究人员已经能够提交破解这些漏洞的恶意应用，并且获得了苹果的许可。不过，由于这只是一次“概念验证”，因此他们在获得许可后立刻删除了该应用。

　　这篇论文共阐述了4大漏洞，其中3个是OS X独有的，另外一个属于iOS。(来源：新浪科技)

　　文章没看够?欢迎关注“艾肯家电网”的微信公众账号！点击微信界面右上角的+号，选择“添加朋友”，直接输入“艾肯家电网”或者微信号“www-abi-com-cn”即可关注！(扫描下方二维码亦可哦)我们每天会推送1-4篇行业类文章，期待您的点赞或拍砖！