來自美國印地安那大學、喬治亞理工學院與中國北京大學的6名中國研究人員在本周發表了一份研究報告,揭露蘋果Mac OS與iOS中所存在的重大安全漏洞,可導致跨程式資源存取(cross-app resource access,XARA)攻擊,讓惡意程式得以取得其他程式所儲存的機密資訊。

之前已有研究顯示Android程式在未經授權的情況下仍能存取系統功能及其他程式的資源,印證了XARA攻擊在Android平台上發生的可能性。而這6名研究人員則嘗試釐清號稱比Android平台還安全的蘋果Mac OS與iOS是否也潛藏類似的風險。

報告指出,即使蘋果的安全機制與Android極為不同,但仍無法免於XARA漏洞。在獨立個別程式的機制上,他們發現多個重大的漏洞,不論是可供程式共享密碼資源的keychain,或是程式之間的WebSocket與Scheme通訊機制,都未受作業系統或程式的充份保護,因而允許惡意程式存取這些程式的使用者資料。此外,蘋果的沙箱架構也不如想像中可靠,使駭客可破解OS X中的程式沙箱限制而可自由存取其他程式的目錄。

這群研究人員所打造的概念性驗證攻擊程式不但繞過了蘋果作業系統的保護機制,還通過了蘋果程式商店的審核程序,等於是瓦解了蘋果的層層防禦機制。

在分析Mac OS X的1612個程式與iOS上的200個程式之後,他們發現有高達88.6%的程式使用者了不安全的機制,曝露在XARA的攻擊風險中。

實際以驗證程式執行攻擊時,這群研究人員取得系統內所儲存的密碼與iCloud帳密、電子郵件、社交網路的權杖,還自Chrome瀏覽器中取得Gmail與銀行密碼。此外,他們還成功截獲由第三方密碼程式1Password所儲存的使用者密碼,以及Evernote的權杖,並得以存取Evernote的內容與WeChat內的照片。

此一研究意味著XARA是個跨平台的普遍漏洞,不論是Android、iOS或Mac OS X都無法倖免於難,在將研究成果提報給蘋果與第三方的程式業者後,1Password很快就提出說明,指出此一概念性攻擊程式所截獲的是1Password瀏覽器擴充程式在瀏覽器上所蒐集的密碼,並未真正存取1Password的密碼資料庫,然而,1Password亦坦承此一研究彰顯了在作業系統中要保障系統內的互動與通訊安全真的很不容易。(編譯/陳曉莉)

 

熱門新聞

Advertisement