丹尼尔·赫鲁斯卡 2014 年 XNUMX 月,由六名研究人员组成的小组成功绕过了 Apple 的所有安全机制,将一款应用程序放置在 Mac App Store 和 App Store 上。实际上,他们可以将恶意应用程序植入苹果设备,从而获取非常有价值的信息。根据与苹果公司达成的协议,这一事实在大约六个月内不得公开,研究人员遵守了该协议。
我们时不时地听说安全漏洞,每个系统都有它们,但这个是一个非常大的漏洞。它允许攻击者通过 App Stories 推送应用程序,从而窃取 iCloud 钥匙串密码、邮件应用程序以及 Google Chrome 中存储的所有密码。
[youtube id=”S1tDqSQDngE” 宽度=”620″ 高度=”350″]
该缺陷可能允许恶意软件从几乎任何应用程序获取密码,无论是预安装的还是第三方的。该小组成功地完全克服了沙箱,从而从 Everenote 或 Facebook 等最常用的应用程序中获取了数据。整个事情在文件中有描述 “MAC OS X 和 iOS 上未经授权的跨应用程序资源访问”.
苹果尚未对此事公开发表评论,只是要求研究人员提供更详细的信息。尽管谷歌删除了钥匙串集成,但它并没有解决问题本身。 1Password的开发者已确认他们不能100%保证存储数据的安全。一旦攻击者进入您的设备,它就不再是您的设备。苹果必须在系统层面提出修复方案。
这绝对是一个错误,但建议取决于人,他安装的应用程序。
如果我从ofiko应用程序商店安装应用程序,我从iPhone的默认“书签”访问它,我没有“破解”的iOS系统,它甚至会/已经危及我的小东西,ptm。我的 iPhone 运行 iOS 8,3?根据这篇文章,我有这样的感觉……我要安装哪些应用程序?来自“免费”选项。
这里的重点是,这些恶意软件应用程序可以通过官方途径进入App Store,用户认为通过了苹果公司的检查就可以下载它们。所以最好不要安装来自未知开发者的应用程序。至少我是这么理解的。
正如你所说。无论如何,如果该信息属实,我感到相当惊讶,据称苹果公司已经知道这件事超过半年了,但没有采取任何行动。
我估计苹果在收到信息后很可能在App Store中补充了控制,对于iPhone/iPad来说这方面的风险很小。
然而,对于 MAC,它不必那么忽略,MacAppStore 之外的应用程序安装得相当正常。