iOS现设计漏洞 会暴露用户Apple ID凭证

  iOS当前设计漏洞揭示用户Apple ID凭证

  苹果XGohst事件刚刚平息,现在已经暴露出安全漏洞。据FreeBuf称,一家软件安全公司Check Point的安全研究人员Kasif Dekel最近表示,他发现了iOS核心功能的软件设计漏洞(CVE-2015-5832)。这个软件是用来管理核心应用程序的凭据,但是由于漏洞,即使用户注销Apple ID帐号,也会保存登录凭据,导致设备上存储的敏感数据泄漏。 Apple ID是iOS操作系统,方便用户管理设备的设置。 Apple ID与许多苹果用户操作相关,包括iTunes商店下载,启用iCloud云存储,从Apple在线商店购买应用程序,在Apple Store零售商店订购产品或访问Apple支持网站。可见,Apple ID存储了大量的用户信息。 Kasif Dekel解释说,由于应用程序中存在这个安全漏洞,当用户登录到要发布的Apple ID时,注销机制允许设备简单地退出而不清除存储在应用程序中的敏感钥匙串数据。钥匙串是用于存储密码,证书,身份和更多安全服务的加密容器。这也是一个安全的存储容器,应用程序只能访问自己的钥匙链项目。所以,当用户想切换到苹果设备时,即使应用程序的钥匙串数据被清理掉了,他们的隐私数据也可能会被破坏,因为即使用户注销了应用程序,但是某些设备被重置,信息也会目前,苹果已经验证了这个安全问题,并且已经发布了一个安全公告(见下文)。研究人员说,为了避免这个漏洞造成的数据泄露,就是升级到iOS 9,然后在设备设置,选择“擦除所有内容和设置”。这篇文章首先在移动互联网信息网站或转载的iOS设计漏洞中会透露用户的苹果身份证件