蘋果XGohst事件剛剛平息，如今又被曝出安全漏洞了。

據(jù)FreeBuf報(bào)道，軟件安全公司Check Point的安全研究員Kasif Dekel日前表示，他在iOS的核心功能中發(fā)現(xiàn)了一個(gè)軟件設(shè)計(jì)漏洞（CVE-2015-5832）。這個(gè)軟件是用來管理核心應(yīng)用程序的憑證的，但因?yàn)槁┒吹拇嬖?，用戶即使注銷Apple ID賬戶也會(huì)被保存登錄憑證，從而導(dǎo)致設(shè)備上存儲(chǔ)的敏感數(shù)據(jù)泄漏出去。

Apple ID是iOS操作系統(tǒng)為方便用戶管理設(shè)備而設(shè)立的。Apple ID關(guān)聯(lián)著蘋果用戶的眾多操作行為，包括iTunes商店下載、啟用iCloud云儲(chǔ)存功能、從Apple在線商店購(gòu)買應(yīng)用、在Apple Store零售店預(yù)定商品或訪問蘋果支持網(wǎng)站等等?？梢姡珹pple ID儲(chǔ)藏著大量用戶信息。

Kasif Dekel解釋稱，由于應(yīng)用程序存在這個(gè)安全漏洞，用戶在登錄Apple ID后要推出時(shí)，注銷機(jī)制允許設(shè)備在不清除應(yīng)用程序中存儲(chǔ)的敏感keychain 數(shù)據(jù)的情況下，就直接執(zhí)行退出。keychain是一個(gè)加密的容器用來保存密碼、證書、身份以及更多的安全服務(wù)。它也是一個(gè)安全儲(chǔ)存容器，應(yīng)用程序只能訪問其自己的keychain項(xiàng)。

所以，用戶要轉(zhuǎn)手一個(gè)蘋果設(shè)備時(shí)，即便清理了應(yīng)用程序keychain的數(shù)據(jù)，但其隱私數(shù)據(jù)仍有可能會(huì)泄漏。因?yàn)榧词褂脩糇N了應(yīng)用程序，但進(jìn)行部分設(shè)備復(fù)位后，信息將仍存儲(chǔ)在keychain中。

目前，蘋果已經(jīng)核實(shí)確認(rèn)該安全問題，并已發(fā)布了一個(gè)安全公告（下圖）。研究人員稱，避免因這個(gè)漏洞造成數(shù)據(jù)泄露的方法是升級(jí)到iOS 9，然后在設(shè)備設(shè)置中選擇“抹掉所有內(nèi)容和設(shè)置”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。