check point提醒蘋果ios的核心應用程式可能會暴露使用者的憑據。所幸的是ios 9包含有相關的補丁。
apple id
ios作業系統專門為使用者提供了方便以便使用者自己通過乙個apple id來管理裝置。現如今ios的市場份額佔當前移動裝置行業的40%以上,apple id與使用者的所有行為都息息相關:itunes商店,啟用icloud,從apple**商店購買,在apple store零售店預定商品或訪問蘋果支援**等。
但是,check point的安全研究員kasif dekel上個月在ios核心功能中發現了乙個軟體設計漏洞(cve-2015-5832),這個軟體是用來管理核心應用程式的憑證。即使使用者已經登出了,這個漏洞也會儲存下使用者的登入憑證,從而導致裝置上儲存的敏感資料洩漏出去。
蘋果已經核實確認該安全問題,並已發布了乙個安全公告。
細節問題
由於應用程式存在這個安全漏洞,登出機制允許裝置不清除應用程式中儲存的敏感keychain 資料就直接執行退出。
keychain是乙個加密的容器用來儲存密碼、證書、身份以及更多的安全服務。它也是乙個安全儲存容器,應用程式只能訪問其自己的keychain項。要共享應用程式之間的資料,它們必須有相同的訪問組**簽名的權利。
在越獄的裝置上,乙個已經用「萬用字元」許可權籤了自簽名證書的工具已經授予訪問所有的keychain項。
keychain中的一些資訊:
當乙個裝置(iphone / ipad的/ ipod)賣出後如果使用者並不知道清理應用程式keychain資料的正確方式那麼他的隱私資料可能會暴露。
需要注意的是,即使使用者登出了應用程式並進行部分裝置復位,資訊將仍儲存在keychain中。避免這種敏感資料暴露的正確的方法是公升級到ios 9然後在裝置設定中選擇「抹掉所有內容和設定」。
iOS使用者體驗設計
ios使用者體驗設計 基本資訊 譯者 毛姝雯 叢書名 圖靈互動設計叢書 出版社 人民郵電出版社 isbn 9787115316677 出版日期 2013 年5月 開本 32開 頁碼 134 版次 1 1 所屬分類 計算機 更多關於 ios使用者體驗設計 內容簡介 計算機書籍 ios使用者體驗設計 介...
Google Play爆大漏洞 使用者已購應用消失
這一漏洞令國外google play使用者大為光火,在過去的72個小時中不斷有使用者反映出現了上述這些問題,但是google目前還沒有對該問題作出任何表示,不知道google將會如何解決這個問題,稍有不慎觸了眾怒的話恐怕會對當前的穀果大戰產生相當不利的影響吧,就看google會怎麼處理了。不過這個漏...
iPad應用使用者體驗設計指南
下面列出ipad使用者體驗指南中的幾點內容,更加詳細的說明可以參考。最好的ipad 應用程式應該能夠讓使用者用更加新穎的方式與應用互動。不要費盡心思地將一些無關緊要的功能新增到ipad上去。尤其是不要試圖將iphone上的應用程式全部照搬到ipad上。雖然你不想將太多的資訊都堆積到乙個頁面上,但或許...