苹果 XGohst 事件刚刚平息,如今又被爆出安全性漏洞了。
据 FreeBuf 报导,软件安全公司 Check Point 的安全研究员 Kasif Dekel 日前表示,他在 iOS 的核心功能中发现了一个软件设计漏洞(CVE-2015-5832)。这个软件是用来管理核心应用程序的凭证的,但因为漏洞的存在,用户即使登出 Apple ID 账户也会被保存登录凭证,从而导致设备上储存的敏感性资料泄漏出去。
Apple ID 是 iOS 操作系统为方便使用者管理设备而设立的。Apple ID 关联著苹果用户的众多操作行为,包括 iTunes 商店下载、启用 iCloud 云端储存功能、从 Apple 线上商店购买应用程序、在 Apple Store 零售店预定商品或连上苹果支援网站等。可见,Apple ID 储藏着大量使用者资讯。
Kasif Dekel 解释称,由于应用程序存在这个安全性漏洞,使用者在登录 Apple ID 后要推出时,登出机制允许装置在不清除应用程序中储存的敏感 keychain 资料的情况下,就直接执行退出。keychain 是一个加密的容器用来保存密码、证书、身份以及更多的安全服务。它也是一个安全储存容器,应用程序只能连上其自己的 keychain 。
所以,使用者要转手一个苹果装置时,即便清理了应用程序 keychain 的资料,但其隐私资料仍有可能会泄漏。因为即使使用者登出了应用程序,但进行部分装置重定后,资讯将仍储存在 keychain 中。
目前,苹果已经核实确认该安全问题,并已发布了一个安全公告(下图)。研究人员称,避免因这个漏洞造成资料泄露的方法是升级到 iOS 9,然后在装置设置中选择“清除所有内容和设置”。
(本文由 雷锋网 授权转载)
