吴纪
2019-05-18 09:03:26
2015年6月19日上午10点发布
2015年6月19日上午10:00更新

菲律宾马尼拉 - 据报道,iOS和OS X上的零日攻击可能会让黑客突破Apple的密码管理系统和应用密码,并在此过程中窃取它们。

这一缺陷在印第安纳大学,北京大学和佐治亚理工学院的研究人员发表的得到了揭示,并在上进行了讨论。

研究人员能够将恶意软件上传到Apple的应用程序商店,该商店通过了该公司的审查流程。 安装后,恶意软件会攻击密钥链或密码管理系统以窃取密码。 这些被盗密码将包括Mac服务上的密码,如iCloud和Mail应用程序,以及存储在Google Chrome中的密码。

The Register表示,首席研究员Luyi Xing和该团队遵守Apple的要求,拒绝公布研究报告6个月,但截至撰写本文时尚未收到回复。

Xing补充道,“我们完全破解了钥匙串服务 - 用于存储不同Apple应用程序的密码和其他凭据 - 以及OS X上的沙盒容器,并且还发现了OS X和iOS上的应用程序间通信机制中的新弱点,这可能是用于窃取Evernote,Facebook和其他知名应用程序的机密数据。“

用户在从未知开发人员下载应用程序时应谨慎,即使在iOS和Mac应用程序商店中也是如此。 如果应用程序要求您手动登录,当钥匙串通常代表您处理登录时,用户也应该发出警报。 - Rappler.com

从Shutterstock的