蘋果系統現嚴重漏洞 惡意程序可盜取用戶密碼

安全研究人員在蘋果OS X和iOS中發現的4個重大漏洞可能給惡意軟件敞開大門，導致用戶的密碼被盜。這4大漏洞，其中3個是OS X獨有的，另外一個屬于iOS。

惡意應用可以借助這些漏洞進入App Store，以便繞過或忽略沙箱及其他安全保護措施，從其他應用的鑰鏈中獲取密碼，竊取其他應用的隱私數據，劫持網絡端口，并假扮不同的應用攔截某些對話。研究人員已經通過這些漏洞獲取了用戶保存在Evernote中的私密筆記，以及在微信中保存的照片。

蘋果對iOS和OS X App Store的評估流程原本可以阻止惡意軟件進入其系統。但如果這一壁壘失敗，該公司就需要依靠沙箱，這種技術可以阻止應用訪問不歸其管理的數據——除非通過特殊渠道。

然而，有6位研究人員發現蘋果的這一過程存在很多弱點，他們將其稱作“未授權的跨應用資源獲取”，簡稱XARA。

該團隊的成員之一、印第安納大學計算機科學教授王曉峰(XiaoFeng Wang，音譯)接受采訪時說：“OS X提供了豐富的功能，所以很容易受到攻擊。”

研究人員表示，他們曾在2014年10月通知蘋果，此后又兩次將此事告知蘋果，蘋果當時表示需要6個月時間來修復漏洞。研究人員還稱，蘋果曾在今年2月向其索取論文。由于可以立刻借此部署惡意軟件，因此這一漏洞被視作“零日漏洞”。

由于惡意軟件必須首先進入App Store，因此可以最大限度地降低攻擊強度。但不幸的是，研究人員已經能夠提交破解這些漏洞的惡意應用，并且獲得了蘋果的許可。不過，由于這只是一次“概念驗證”，因此他們在獲得許可后立刻刪除了該應用。