網易科技訊 6月18日消息，據國外媒體報道，研究人員發現蘋果OS X和iOS系統跨的應用資源分享協議中存在3個嚴重漏洞，這些漏洞可被用於盜竊用戶數據，如密碼和秘密的認證密鑰，其中一個漏洞可以使攻擊者繞過Keychain管理系統。

　　這3個漏洞由來自印第安納大學、喬治亞科技大學以及北京大學的6位研究人員組成的團隊發現，它們依賴於執行Keychain的控制清單、OS X的應用程序容器以及URL Scheme過程中存在的基礎性錯誤。研究人員稱，他們已經於去年10月通知蘋果，該公司提出需要6個月時間要修複該漏洞。

　　Keychain的漏洞源自於該管理系統未能核實應用程序是否應該獲得修改條目的權利。一旦利用這個新發現的漏洞，惡意應用可以刪除已經存在的條目，並讓惡意應用能夠訪問和閱讀該條目的內容。

　　另一個漏洞存在於OS X的應用程序容器，這些容器的目的是使Mac App Store應用不能在未獲得明確許可的情況下訪問屬於其他應用程序的數據。蘋果還為每款應用提供一個Bundle ID以加強這種訪問控制，但對於屬於輔助應用程序的Bundle ID，Mac App Store並不會核實其唯一性。惡意程序可以創造一個克隆現有應用的Bundle ID的惡意輔助應用，從而獲得訪問正規應用的容器的權利。

　　另一個存在於URL Scheme的漏洞可以讓研究人員劫持其他正規應用的URL Scheme並抓取應用之間的數據通信。例如，惡意應用可以注冊用於Facebook登陸的fbauth://安排，之後攔截用戶的Facebook認證令牌。

　　在最新的預覽版OS X Yosemite中，這些漏洞仍然尚未修複，不過研究人員尚未對上周宣布的OS X El Capitan進行測試。

　　目前尚不清楚蘋果計劃接下來如何減輕這些威脅，因為這需要對 OS X及 iOS與應用進行通信的方式作出重大的結構調整。

　　同時，研究人員建議用戶采取標准的安全預防措施：不要安裝來自位置源的應用程序，並對任何可疑的密碼提示保持謹慎態度。