来源: 网易科技报道
网易科技讯 6月18日消息,据国外媒体报道,研究人员发现苹果OS X和iOS系统跨的应用资源分享协议中存在3个严重漏洞,这些漏洞可被用于盗窃用户数据,如密码和秘密的认证密钥,其中一个漏洞可以使攻击者绕过Keychain管理系统。
这3个漏洞由来自印第安纳大学、乔治亚科技大学以及北京大学的6位研究人员组成的团队发现,它们依赖于执行Keychain的控制清单、OS X的应用程序容器以及URL Scheme过程中存在的基础性错误。研究人员称,他们已经于去年10月通知苹果,该公司提出需要6个月时间要修复该漏洞。
Keychain的漏洞源自于该管理系统未能核实应用程序是否应该获得修改条目的权利。一旦利用这个新发现的漏洞,恶意应用可以删除已经存在的条目,并让恶意应用能够访问和阅读该条目的内容。
另一个漏洞存在于OS X的应用程序容器,这些容器的目的是使Mac App Store应用不能在未获得明确许可的情况下访问属于其他应用程序的数据。苹果还为每款应用提供一个Bundle ID以加强这种访问控制,但对于属于辅助应用程序的Bundle ID,Mac App Store并不会核实其唯一性。恶意程序可以创造一个克隆现有应用的Bundle ID的恶意辅助应用,从而获得访问正规应用的容器的权利。
另一个存在于URL Scheme的漏洞可以让研究人员劫持其他正规应用的URL Scheme并抓取应用之间的数据通信。例如,恶意应用可以注册用于Facebook登陆的fbauth://安排,之后拦截用户的Facebook认证令牌。
在最新的预览版OS X Yosemite中,这些漏洞仍然尚未修复,不过研究人员尚未对上周宣布的OS X El Capitan进行测试。
目前尚不清楚苹果计划接下来如何减轻这些威胁,因为这需要对 OS X及 iOS与应用进行通信的方式作出重大的结构调整。
同时,研究人员建议用户采取标准的安全预防措施:不要安装来自位置源的应用程序,并对任何可疑的密码提示保持谨慎态度。
(楚慎)