新聞源 財(cái)富源

2025年01月09日 星期四

財(cái)經(jīng) > 滾動新聞 > 正文

字號:  

蘋果XARA漏洞 90%官方APP可泄露敏感信息

  • 發(fā)布時(shí)間:2015-06-24 01:31:17  來源:科技日報(bào)  作者:佚名  責(zé)任編輯:羅伯特

  盡管安全研究人員在九個(gè)月之前就警告了蘋果的零日漏洞,但iPhone手機(jī)和Mac電腦至今還存在這些嚴(yán)重的漏洞。

  美國兩所大學(xué)和中國北京大學(xué)在他們的聯(lián)合發(fā)表的論文中表示,在iOS和Mac OS X中存在的漏洞可以被利用來盜取密碼。研究人員先把惡意軟件上傳到蘋果商店公開發(fā)售,蘋果的掃描機(jī)制不會發(fā)出警報(bào)并阻止。這些惡意應(yīng)用能夠盜取并發(fā)送設(shè)備中的各種密碼,包括iCloud,郵件以及存在谷歌Chrome中的所有密碼。

  OS X中的應(yīng)用沙箱設(shè)計(jì)是有漏洞的,它把應(yīng)用本身的目錄暴露給被沙盒過的惡意軟件,而這個(gè)惡意軟件劫持了蘋果Bundle ID。

  因此,像Evernote中的筆記、聯(lián)系人以及微信中的照片等敏感用戶數(shù)據(jù),就都被暴露給惡意程序了。從根本上來說,這些問題是缺乏應(yīng)用到應(yīng)用,應(yīng)用到操作系統(tǒng)的認(rèn)證造成的。

  每一個(gè)安卓應(yīng)用都被賦予一個(gè)唯一的UID并以用戶權(quán)限運(yùn)行,在這種進(jìn)程保護(hù)機(jī)制下,自動的隔離了不同的應(yīng)用。而蘋果的系統(tǒng)平臺只是使用UID把應(yīng)用分成不同的組。

  因此,由于“缺乏應(yīng)用到應(yīng)用,應(yīng)用到操作系統(tǒng)的認(rèn)證”,應(yīng)用中的密碼并沒有得到足夠的保護(hù)。攻擊者得以實(shí)施未授權(quán)的跨應(yīng)用的資源訪問,因此該漏洞被稱為XARA(Cross-App Resource Access)。

  蘋果官方應(yīng)用商店中的免費(fèi)OS X和iOS的1612款應(yīng)用中,約90%屬于“完全暴露”在這種攻擊之下。

  蘋果的一位發(fā)言人日前稱,正在調(diào)查相關(guān)問題。(李煒)

蘋果 詳細(xì)

漲幅榜 更多

排名 股票名稱 最新價(jià) 漲跌幅
1 北玻股份 3.55 9.91%
2 共達(dá)電聲 11.80 6.21%
3 歌爾股份 14.11 5.14%
4 超聲電子 10.11 3.59%
5 南洋科技 18.68 3.49%

跌幅榜 更多

排名 股票名稱 最新價(jià) 漲跌幅
1 長園集團(tuán) 17.19 -3.54%
2 浪潮信息 23.85 -3.17%
3 藍(lán)思科技 24.94 -2.88%
4 立訊精密 23.50 -2.81%
5 長盈精密 18.20 -1.99%

熱圖一覽

滾動新聞

  • 股票名稱 最新價(jià) 漲跌幅