窃取OS X和iOS密码的零日攻击
相关标签: # 漏洞# 攻击# 软件# 软件# 缺陷
苹果设备通常被认为比运行在Windows和Android等平台上的其他设备更安全,但最近的一项研究会让你在发表这一声明之前三思而后行。
一群安全研究人员已经发现了潜在的致命威胁iOS和OS X操作系统中的零日漏洞这可能会让iPhone/iPad或Mac用户面临网络攻击的高风险。
研究人员在app Store上创建并发布了一个恶意应用程序,可以从应用程序中窃取用户的个人数据苹果OS X中的密码存储钥匙链,以及从iCloud、银行和电子邮件帐户窃取密码。
配音ARAA(跨应用程序资源访问),恶意软件攻击应用程序能够绕过OS X沙箱机制,该机制被认为旨在阻止应用程序访问与其他应用程序相关的凭据、联系人和其他重要数据。
后果是可怕的!
在他们的论文中,题为MAC OS X和iOS上未经授权的跨应用程序资源访问“[PDF],研究人员称,一旦安装,他们的应用程序可以从Dropbox、Facebook和Evernote等应用程序以及流行的消息应用程序微信获取数据,甚至可以从1Password获取密码。
"后果是可怕的研究人员在论文中写道例如,在最新的Mac OS X 10.10.3上,我们的沙盒应用程序成功地从系统的钥匙链中检索到iCloud、电子邮件和各种社交网络的密码和秘密令牌。。。来自谷歌Chrome的银行和Gmail密码。"
研究人员还指出,只有当受害者钥匙链物品的属性是可预测的时,黑客攻击才有可能发生。然而,大多数服务在钥匙连锁店中使用相同的名称。
钥匙链问题源于无法验证哪个应用程序在钥匙链中拥有凭证,甚至操作系统也没有检查任何可疑活动。
绕过苹果应用商店的安全检查
该恶意应用还能够绕过苹果应用商店的安全检查,这些安全检查旨在确保一个应用在未经许可的情况下无法访问其他应用的数据。
然而,关于这个恶意应用,更令人担忧的是,它被苹果批准放置在其应用商店中,苹果安全工程师应该对其进行潜在恶意应用的预检查。
苹果没有立即回应置评请求。
印第安纳大学博芬斯·邢发现的零日缺陷;白小龙;王晓峰;陈凯加入了北京大学的李同新,佐治亚理工学院的廖晓静去年10月被报告给了苹果,但苹果要求在上市前有6个月的时间。
然而,根据他们的论文,这些问题依然存在,数百万苹果用户仍然可能受到这些零日缺陷的影响。
如何保护你的设备
研究人员说,对苹果的OS X和iOS进行全系统更新是完全保护自己免受这些漏洞攻击的唯一方法。然而,我们正在耐心等待苹果公司的消息,它计划如何解决这个巨大的问题。
为了保护自己免受此类漏洞的攻击,建议所有操作系统平台的用户将安装在设备上的应用限制为需要且明确受信任的应用。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
