一群安全领域的专家发现苹果移动和桌面操作系统中存在一个需要警惕的漏洞。
研究小组在新近发布的文件中描述了他们如何进行了一系列测试,绕开安全检查,盗取密码、甚至一些关键的应用数据。
这一发现的漏洞存在于苹果的iPhone、iPad以及Mac产品中。
报告称,由于苹果打造的应用能够互相联系,研究人员可以窃取大量机密信息。例如iCloud、电子邮箱以及银行的密码,甚至印象笔记(Evernote)应用中的令牌。
简单来说,研究人员制造一个恶意软件,并将其以普通应用的形式伪装起来,上传到苹果的应用商店App Store。一旦用户下载这款应用,其手机或者电脑中现有应用的机密信息就会被恶意软件盗走。
该研究团队负责人邢璐祎表示,通过这个恶意软件,他们可以在未经授权的情况下进入其他应用的敏感数据,例如iCloud的密码和图片、邮箱应用以及存储在Google Chrome中的网络密码。
据悉,邢璐祎及其团队在六个月前就已经将这一情况告知苹果,但目前苹果的相关产品中仍存在这一漏洞。
这一发现无疑将产生严重的后果。在此之前,几乎没有爆出苹果的软件中存在跨应用的漏洞,这一发现表明苹果的这种软件设计的确存在巨大风险。
研究人员对大量苹果应用进行测试,发现超过88.6%的应用被彻底攻陷,这其中包括非常受欢迎的密码管理应用1Password以及Google Chrome。
报告称,这种类型的攻击所产生的后果相当严重,将会泄露用户的密码、秘密令牌以及所有类型的秘密文件。
简而言之,如果黑客利用这一漏洞发起攻击,对于苹果来说则是一个坏消息。目前尚不清楚有没有人已经利用这一漏洞进行攻击。苹果方面目前急需找到对策,堵上存在于iOS和Mac OS X操作系统中的这一漏洞。(李路)