安全動(dòng)態(tài)

網(wǎng)友發(fā)現(xiàn)蘋果M1 Mac漏洞:密碼、聊天紀(jì)錄可從ipa包中直接讀取

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-11-20    瀏覽次數(shù):
 

信息來源:Cnbeta

最近幾天,蘋果的M1處理器各種刷屏,雖然這只是蘋果第一款自研桌面級(jí)ARM處理器,但不論CPU性能還是GPU性能,都足以讓AMD、Intel及NVIDIA三家擔(dān)憂。M1芯片已經(jīng)在三款Mac電腦上應(yīng)用,蘋果天然的生態(tài)優(yōu)勢(shì)也讓M1大放光彩,可以直接運(yùn)行iOS上的應(yīng)用。


微博網(wǎng)友@蒸米spark已經(jīng)實(shí)測(cè),就沒有在Mac上的AppStore商店上架的應(yīng)用,也可以靠直接后脫殼后的ipa在Mac上運(yùn)行,更夸張的是企業(yè)簽名的ipa包可以直接雙擊跟exe一樣運(yùn)行。

不過蘋果這樣做也有極大的安全隱患,@蒸米spar測(cè)試之后表示,在iOS上不越獄很難搞到app沙盒里的文件,對(duì)用戶的數(shù)據(jù)來說是一種保護(hù),結(jié)果在macOS上運(yùn)行的iOS app,數(shù)據(jù)全都放在user目錄里,普通權(quán)限隨便讀寫,聊天記錄,明文密碼啥的,一秒鐘就給拖走,篡改文件導(dǎo)致代碼執(zhí)行啥的也有可能。

顯然,蘋果在打通Mac與iOS平臺(tái)之后,還沒來得及處理相關(guān)的安全問題,現(xiàn)在如網(wǎng)友測(cè)試的那樣,iOS被保護(hù)的應(yīng)用在Mac上直接變成透明了,不僅會(huì)泄漏用戶的隱私,也會(huì)讓黑產(chǎn)抓到可乘之機(jī),遺患無窮。

蘋果目前還沒有對(duì)此事回應(yīng),不過這樣的情況很危險(xiǎn),預(yù)計(jì)蘋果會(huì)采取措施修正安全漏洞。


 
 

上一篇:微軟部署新措施:降低Edge和Chrome等瀏覽器的權(quán)限

下一篇:2020年11月20日聚銘安全速遞