appthority研究人員發現乙個存在於ios沙盒應用中的漏洞,ios 8.4.1以下版本的系統都會受到影響,任何人都可以通過此漏洞訪問管理應用程式的系統配置。
沙盒漏洞-quicksand
由於此漏洞出現在ios沙盒中,因此研究者將它命名為「quicksand」(流沙),漏洞編號為cve-2015-5719。
mdm(移動裝置管理)是指將應用程式的資料以及配置分配到移動裝置(例如智慧型手機、平板電腦、膝上型電腦等)的程式或工具。mdm解決方案主要致力於優化移動通訊網路的功能和安全性,同時最大限度地降低成本和停機時間。mdm很大程度上地依賴於生產裝置**商所採用的裝置管理特性。
mdm和emm(企業移動管理)解決方案大多**於fancyfon、airwatch、mobilelron以及amtel等廠商,這類解決方案允許各個機構在移動裝置中安裝企業自身的應用程式,包括配置檔案和使用者憑證等等。對職員來說mdm則是一種便捷地工作方式。
而研究者稱,該漏洞將會影響所有的mdm使用者資料安全以及企業發布的移動應用程式安全,因為企業環境下的mdm會使用「magaged app configuration」配置並儲存使用者的個人配置及憑證資訊。
appthority研究人員在部落格中寫道:
「我們在ios沙盒中發現乙個嚴重漏洞,現在導致不僅僅是手機應用(或者mdm應用自身)可以訪問儲存在移動終端的敏感配置資料以及身份驗證資訊,而且任何人都可以檢視到這些放在移動裝置上的使用者資料。」
如何實施攻擊?
攻擊者可以在乙個mdm解決方案環境中通過欺騙使用者來達到攻擊目的。通常採用以下兩種方式:
1、偽裝成乙個大多數使用者都會安裝的應用,推送至機構中的全體成員。
2、選擇乙個特殊使用者,然後通過網路釣魚之類的方式讓他中招。
目前形勢嚴峻,在這種情況在企業很容易受到攻擊。使用mdm解決方案來管理的敏感資訊或許情況會好些。
當然這個漏洞或許目前尚算不上什麼重大威脅,但是一旦潘多拉的盒子被開啟,攻擊者便可以毫無忌憚地直接訪問企業資料資訊。
目前,appthority與蘋果公司安全部門合力修復了這一漏洞,並在ios8.4.1版本中更新了補丁。
iOS 沙盒 資料持久化
注意在這個筆記裡有部分路徑為方法,需要自己定義,在這裡一定要熟練使用獲取資料夾路徑以及路徑的拼接 什麼是資料持久化 資料的永久儲存 為什麼要做資料持久化 儲存在記憶體中的資料,程式關閉,記憶體釋放,資料丟失。這種資料是臨時的。資料持久化的本質 資料儲存成檔案,儲存到程式的沙盒裡 1.每個應用程式位於...
iOS 歸檔 沙盒快取資料
快取一條資料沒啥意義 實際開發中一般都是快取很多條資料或者是乙個dictionary甚至其他物件 tips 同一物件快取可以使用同一沙盒路徑 不同型別的資料千萬別使用同一沙盒路徑 不同型別資料如果使用同一路徑那麼快取的很可能就是最後歸檔的資料 我嘗試過 切記 1 快取100條資料 資料內容為pers...
ios 資料儲存 Bundle 沙盒
什麼是沙盒 與其他檔案系統隔離,應用必須待在自己的沙河裡面,不能互相訪問 bundle 和 沙盒是分開的 獲取bundle 路徑 nsstring path nsbundle mainbundle bundlepath nslog path path 獲取 documents 資料夾 1.獲取沙盒路...