iOS 出現設計漏洞,會洩露使用者 Apple ID 憑證

作者 | 發布日期 2015 年 10 月 15 日 15:22 | 分類 Apple , iOS , 資訊安全 follow us in feedly
雷鋒網配圖

蘋果 XGohst 事件剛剛平息,如今又被爆出安全性漏洞了。

據 FreeBuf 報導,軟體安全公司 Check Point 的安全研究員 Kasif Dekel 日前表示,他在 iOS 的核心功能中發現了一個軟體設計漏洞(CVE-2015-5832)。這個軟體是用來管理核心應用程式的憑證的,但因為漏洞的存在,用戶即使登出 Apple ID 帳戶也會被保存登錄憑證,從而導致設備上儲存的敏感性資料洩漏出去。




Apple ID 是 iOS 作業系統為方便使用者管理設備而設立的。Apple ID 關聯著蘋果用戶的眾多操作行為,包括 iTunes 商店下載、啟用 iCloud 雲端儲存功能、從 Apple 線上商店購買應用程式、在 Apple Store 零售店預定商品或連上蘋果支援網站等。可見,Apple ID 儲藏著大量使用者資訊。

Kasif Dekel 解釋稱,由於應用程式存在這個安全性漏洞,使用者在登錄 Apple ID 後要推出時,登出機制允許裝置在不清除應用程式中儲存的敏感 keychain 資料的情況下,就直接執行退出。keychain 是一個加密的容器用來保存密碼、證書、身分以及更多的安全服務。它也是一個安全儲存容器,應用程式只能連上其自己的 keychain 。

所以,使用者要轉手一個蘋果裝置時,即便清理了應用程式 keychain 的資料,但其隱私資料仍有可能會洩漏。因為即使使用者登出了應用程式,但進行部份裝置重定後,資訊將仍儲存在 keychain 中。

目前,蘋果已經核實確認該安全問題,並已發布了一個安全公告(下圖)。研究人員稱,避免因這個漏洞造成資料洩露的方法是升級到 iOS 9,然後在裝置設置中選擇「清除所有內容和設置」。

雷鋒網配圖

(本文由 雷鋒網 授權轉載) 

關鍵字: , , ,

發表迴響