据国外媒体报道,六名研究人员在美国印第安纳大学,佐治亚理工学院,以及中国北京大学发现iOS与OS堀焀同存在一个沙盒漏洞,该漏洞可允许攻击者获取本在沙盒保护中运行的应用程序的数据,其中包括应用程序的用户名和密码等。安全研究人员发现,iCloud、Gmail、1Password、Evernote等应用程序都受到此漏洞的影响。
OS堀谀楔伀匀系统被爆存在严重沙盒漏洞 和其他操作系统一样,OS堀谀楔伀匀萀鑶用程序运行于沙盒中,操作系统严格限制应用程序的权限和程序间的访问,以确保安全性。但研究人员使用IPC拦截和攻击,成功的在最新的OS堀10.10.3上窃取了1Password和Evernote的密码。
目前已成功攻破的应用和服务包括:iCloud、Gmail、GoogleDrive、Facebook、Twitter、Chrome、1Password、Evernote、Pushbullet、Dropbox、Instagram、WhatsApp、Pinterest、Dashlane、AnyDo、Pocket。据估计,能被攻击的iOS应用就有数百个,OS堀鐀用更是几千个。
研究人员早在几个月前已经向苹果说明此漏洞的危险性,但一直未获得回复才公布此漏洞!研究人员警告说,”这种攻击的后果是毁灭性的打击,导致泄露用户最敏感的信息,即使它运行在沙盒中。”
在此期间,用户应遵循标准的安全防范措施:不要从不明来源的安装应用程序,并注意任何可疑的密码提示。
