Check Point提醒苹果iOS核心应用程序可能会暴露用户的凭证。幸运的是,iOS 9含有相关补丁。
Apple ID
ios专门为用户提供操作系统Apple ID,让用户自己管理设备。iOS目前移动设备行业的市场份额占40%以上,Apple ID与用户的所有行为密切相关:iTunes商店,启用iCloud,从Apple网店购买,在Apple Store预订商品或访问苹果支持网站等。
但是,Check Point安全研究员Kasif Dekel上个月在ios在核心功能中发现了软件设计漏洞(CVE-2015-5832),该软件是管理核心应用程序的凭证。即使用户被取消,用户的登录凭证也会被保存,导致存储在设备上的敏感数据泄露。
苹果已经核实了安全问题,并发布了安全公告。
细节问题
由于该安全漏洞存在于应用程序中,注销机制允许设备不清除应用程序中存储的敏感性keychain 数据直接退出。
keychain加密容器用于保存密码、证书、身份和更多的安全服务。它也是一个安全的存储容器,应用程序只能访问自己keychain项目。要共享应用程序之间的数据,他们必须有同样的权利签署访问组代码。
越狱设备中使用了一个“通配符”权限签了自签名证书的工具已经授予访问所有的keychain项。
keychain一些信息:
当一个设备(iPhone / iPad的/ iPod)卖出后如果用户并不知道清理应用程序keychain如果数据正确,他的隐私数据可能会暴露。
需要注意的是,即使用户取消了应用程序并复位了一些设备,信息仍然会存储keychain中间。避免这种敏感数据曝光的正确 *** 是升级到iOS 9然后选择设备设置“删除所有内容和设置”。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。