根據(jù)外媒報道,安全研究人員在蘋果公司的OS X和iOS系統(tǒng)中發(fā)現(xiàn)了嚴(yán)重的沙盒漏洞。該漏洞可允許攻擊者獲取本在沙盒保護中運行的應(yīng)用程序的數(shù)據(jù),其中包括應(yīng)用程序的用戶名和密碼等。安全研究人員發(fā)現(xiàn),iCloud、Gmail、1Password、Evernote等應(yīng)用程序都受到此漏洞的影響。
和其他操作系統(tǒng)一樣,OS X和iOS的應(yīng)用程序運行于沙盒中,操作系統(tǒng)嚴(yán)格限制應(yīng)用程序的權(quán)限和程序間的訪問,以確保安全性。但研究人員使用IPC攔截和攻擊,成功的在最新的OS X 10.10.3上竊取了1Password和Evernote的密碼。
這不是研究者第一次發(fā)現(xiàn)蘋果系統(tǒng)的應(yīng)用程序沙箱漏洞。研究人員稱,利用WebSocket的弱點,在一定條件下載Windows系統(tǒng)下也能成功進行攻擊。有趣的是,他們說谷歌的Android系統(tǒng)應(yīng)用程序沙箱能更好地抵御沙盒攻擊威脅。
研究人員告訴外媒,目前除了等待蘋果修復(fù)漏洞外,對于普通用戶沒有什么需要做的。在蘋果的要求,研究人員決定推遲6個月再公布漏洞細節(jié)。研究人員警告說,”這種攻擊的后果是毀滅性的打擊,導(dǎo)致泄露用戶最敏感的信息,即使它運行在沙盒中。”