尽管安全研究人员在九个月之前就警告了苹果的零日漏洞，但iPhone手机和Mac电脑至今还存在这些严重的漏洞。

美国两所大学和中国北京大学在他们的联合发表的论文中表示，在iOS和Mac OS X中存在的漏洞可以被利用来盗取密码。研究人员先把恶意软件上传到苹果商店公开发售，苹果的扫描机制不会发出警报并阻止。这些恶意应用能够盗取并发送设备中的各种密码，包括iCloud，邮件以及存在谷歌Chrome中的所有密码。

“OS X中的应用沙箱设计是有漏洞的，它把应用本身的目录暴露给被沙盒过的恶意软件，而这个恶意软件劫持了苹果Bundle ID。因此，像Evernote中的笔记、联系人以及微信中的照片等敏感用户数据，就都被暴露给恶意程序了。从根本上来说，这些问题是缺乏应用到应用，应用到操作系统的认证造成的。”

“每一个安卓应用都被赋予一个唯一的UID并以用户权限运行，在这种进程保护机制下，自动的隔离了不同的应用。而苹果的系统平台只是使用UID把应用分成不同的组。”

因此，由于“缺乏应用到应用，应用到操作系统的认证”，应用中的密码并没有得到足够的保护。攻击者得以实施未授权的跨应用的资源访问，因此该漏洞被称为XARA（Cross-App Resource Access）。

苹果官方应用商店中的免费OS X和iOS的1612款应用中，约90%属于“完全暴露”在这种攻击之下。

苹果的一位发言人周四称，正在调查相关问题。

（论文下载地址，需使用代理访问）