盡管安全研究人員在九個月之前就警告了蘋果的零日漏洞，但iPhone手機和Mac電腦至今還存在這些嚴重的漏洞。

美國兩所大學和中國北京大學在他們的聯(lián)合發(fā)表的論文中表示，在iOS和Mac OS X中存在的漏洞可以被利用來盜取密碼。研究人員先把惡意軟件上傳到蘋果商店公開發(fā)售，蘋果的掃描機制不會發(fā)出警報并阻止。這些惡意應(yīng)用能夠盜取并發(fā)送設(shè)備中的各種密碼，包括iCloud，郵件以及存在谷歌Chrome中的所有密碼。

OS X中的應(yīng)用沙箱設(shè)計是有漏洞的，它把應(yīng)用本身的目錄暴露給被沙盒過的惡意軟件，而這個惡意軟件劫持了蘋果Bundle ID。

因此，像Evernote中的筆記、聯(lián)系人以及微信中的照片等敏感用戶數(shù)據(jù)，就都被暴露給惡意程序了。從根本上來說，這些問題是缺乏應(yīng)用到應(yīng)用，應(yīng)用到操作系統(tǒng)的認證造成的。

每一個安卓應(yīng)用都被賦予一個唯一的UID并以用戶權(quán)限運行，在這種進程保護機制下，自動的隔離了不同的應(yīng)用。而蘋果的系統(tǒng)平臺只是使用UID把應(yīng)用分成不同的組。

因此，由于“缺乏應(yīng)用到應(yīng)用，應(yīng)用到操作系統(tǒng)的認證”，應(yīng)用中的密碼并沒有得到足夠的保護。攻擊者得以實施未授權(quán)的跨應(yīng)用的資源訪問，因此該漏洞被稱為XARA（Cross-App Resource Access）。

蘋果官方應(yīng)用商店中的免費OS X和iOS的1612款應(yīng)用中，約90%屬于“完全暴露”在這種攻擊之下。

蘋果的一位發(fā)言人日前稱，正在調(diào)查相關(guān)問題。