iOS核心应用设计漏洞 暴露用户Apple ID凭证

Check Point提醒苹果iOS的核心应用程序可能会暴露用户的凭据。所幸的是iOS 9包含有相关的补丁。

创新互联专注骨干网络服务器租用十多年，服务更有保障！服务器租用，成都服务器托管 成都服务器租用，成都服务器托管，骨干网络带宽，享受低延迟，高速访问。灵活、实现低成本的共享或公网数据中心高速带宽的专属高性能服务器。

Apple ID

ios操作系统专门为用户提供了一个Apple ID，以便用户自己管理设备。现如今iOS的市场份额占当前移动设备行业的40%以上，Apple ID与用户的所有行为都息息相关：iTunes商店，启用iCloud，从Apple在线商店购买，在Apple Store零售店预定商品或访问苹果支持网站等。

但是，Check Point的安全研究员Kasif Dekel上个月在ios核心功能中发现了一个软件设计漏洞(CVE-2015-5832)，这个软件是用来管理核心应用程序的凭证。即使用户已经注销了，这个漏洞也会保存下用户的登录凭证，从而导致设备上存储的敏感数据泄漏出去。

苹果已经核实确认该安全问题，并已发布了一个安全公告。

细节问题

由于应用程序存在这个安全漏洞，注销机制允许设备不清除应用程序中存储的敏感keychain 数据就直接执行退出。

keychain是一个加密的容器用来保存密码、证书、身份以及更多的安全服务。它也是一个安全储存容器，应用程序只能访问其自己的keychain项。要共享应用程序之间的数据，它们必须有相同的访问组代码签名的权利。

在越狱的设备上，一个已经用“通配符”权限签了自签名证书的工具已经授予访问所有的keychain项。

keychain中的一些信息：

当一个设备(iPhone / iPad的/ iPod)卖出后如果用户并不知道清理应用程序keychain数据的正确方式那么他的隐私数据可能会暴露。

需要注意的是，即使用户注销了应用程序并进行部分设备复位，信息将仍存储在keychain中。避免这种敏感数据暴露的正确的方法是升级到iOS 9然后在设备设置中选择“抹掉所有内容和设置”。

文章标题：iOS核心应用设计漏洞 暴露用户Apple ID凭证
标题来源：http://www.shufengxianlan.com/qtweb/news39/401189.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联