查看: 160895|回复: 592

iOS核心应用设计漏洞,暴露用户Apple ID凭证

[复制链接]
  • TA的每日心情
    慵懒
    2024-12-2 09:11
  • 签到天数: 919 天

    [LV.10]以坛为家III

    发表于 2015-10-14 17:01:43 | 显示全部楼层 |阅读模式
    14448026957462.jpg
    Check Point提醒苹果iOS的核心应用程序可能会暴露用户的凭据。所幸的是iOS 9包含有相关的补丁。

    Apple ID

    ios操作系统专门为用户提供了方便以便用户自己通过一个Apple ID来管理设备。现如今iOS的市场份额占当前移动设备行业的40%以上,Apple ID与用户的所有行为都息息相关:iTunes商店,启用iCloud,从Apple在线商店购买,在Apple Store零售店预定商品或访问苹果支持网站等。

    但是,Check Point的安全研究员Kasif Dekel上个月在ios核心功能中发现了一个软件设计漏洞(CVE-2015-5832),这个软件是用来管理核心应用程序的凭证。即使用户已经注销了,这个漏洞也会保存下用户的登录凭证,从而导致设备上存储的敏感数据泄漏出去。

    苹果已经核实确认该安全问题,并已发布了一个安全公告。
    14447896649900.jpg
    细节问题

    由于应用程序存在这个安全漏洞,注销机制允许设备不清除应用程序中存储的敏感keychain 数据就直接执行退出。

    keychain是一个加密的容器用来保存密码、证书、身份以及更多的安全服务。它也是一个安全储存容器,应用程序只能访问其自己的keychain项。要共享应用程序之间的数据,它们必须有相同的访问组代码签名的权利。

    在越狱的设备上,一个已经用“通配符”权限签了自签名证书的工具已经授予访问所有的keychain项。

    keychain中的一些信息:
    14447901673276.jpg
    当一个设备(iPhone / iPad的/ iPod)卖出后如果用户并不知道清理应用程序keychain数据的正确方式那么他的隐私数据可能会暴露。

    需要注意的是,即使用户注销了应用程序并进行部分设备复位,信息将仍存储在keychain中。避免这种敏感数据暴露的正确的方法是升级到iOS 9然后在设备设置中选择“抹掉所有内容和设置”。
    14447901985156.jpg
    NAME1.png
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-10-14 20:27:56 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-15 13:23:41 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-16 14:39:42 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-10-24 10:52
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-10-17 09:04:44 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-17 16:59:18 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-18 00:58:12 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-18 19:23:57 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-10-24 10:52
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-10-19 03:27:40 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-20 00:17:24 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-18 20:52 , Processed in 0.087467 second(s), 17 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部