CheckPoint提醒Apple,iOS核心应用程序可能会暴露用户凭据。幸运的是,iOS9包含相关补丁。AppleIDios操作系统专门为用户提供了一个AppleID,方便用户自行管理设备。现在iOS的市场份额占目前移动设备行业的40%以上,AppleID与用户的所有行为都息息相关:iTunes商店、启用iCloud、从Apple在线商店购买、在AppleStore零售店订购商品或访问Apple支持网站等。然而,CheckPoint的安全研究员KasifDekel上个月在iOS核心功能中发现了一个软件设计漏洞(CVE-2015-5832),该软件用于管理核心应用程序的凭据。即使用户已经注销,该漏洞也会保存用户的登录凭证,导致设备上存储的敏感数据泄露。苹果已经核实了该安全问题并发布了安全公告。详细信息由于应用程序中存在此安全漏洞,注销机制允许设备在不清除应用程序中存储的敏感钥匙串数据的情况下注销。Keychain是一个加密的容器,用于存储密码、证书、身份和更多安全服务。它也是一个安全的存储容器,应用程序只能访问自己的钥匙串条目。要在应用程序之间共享数据,它们必须具有相同的访问组代码签名权利。在越狱设备上,已签署具有“通配符”权限的自签名证书的工具已授予对所有钥匙串条目的访问权限。keychain中的一些信息:当一个设备(iPhone/iPad/iPod)被出售时,如果用户不知道清理应用程序keychain数据的正确方法,那么他的私人数据可能会暴露。请注意,即使用户退出应用程序并进行了部分设备重置,信息仍将存储在钥匙串中。避免这些敏感数据暴露的正确方法是升级到iOS9并在设备设置中选择“清除所有内容和设置”。
