[转贴]iOS现设计漏洞 会暴露用户Apple ID凭证

duan

　　苹果XGohst事件刚刚平息，如今又被曝出安全漏洞了。据FreeBuf报道，软件安全公司Check Point的安全研究员Kasif Dekel日前表示，他在iOS的核心功能中发现了一个软件设计漏洞(CVE-2015-5832)。这个软件是用来管理核心应用程序的凭证的，但因为漏洞的存在，用户即使注销Apple ID账户也会被保存登录凭证，从而导致设备上存储的敏感数据泄漏出去。
　　Apple ID是iOS操作系统为方便用户管理设备而设立的。Apple ID关联着苹果用户的众多操作行为，包括iTunes商店下载、启用iCloud云储存功能、从Apple在线商店购买应用、在Apple Store零售店预定商品或访问苹果支持网站等等。可见，Apple ID储藏着大量用户信息。
　　Kasif Dekel解释称，由于应用程序存在这个安全漏洞，用户在登录Apple ID后要推出时，注销机制允许设备在不清除应用程序中存储的敏感keychain数据的情况下，就直接执行退出。keychain是一个加密的容器用来保存密码、证书、身份以及更多的安全服务。它也是一个安全储存容器，应用程序只能访问其自己的keychain项。
　　所以，用户要转手一个苹果设备时，即便清理了应用程序keychain的数据，但其隐私数据仍有可能会泄漏。因为即使用户注销了应用程序，但进行部分设备复位后，信息将仍存储在keychain中。
　　目前，苹果已经核实确认该安全问题，并已发布了一个安全公告(下图)。研究人员称，避免因这个漏洞造成数据泄露的方法是升级到iOS 9，然后在设备设置中选择“抹掉所有内容和设置”。