根据国外媒体的最新报道，来自印第安纳大学、佐治亚理工学院和北京大学的开发团队近日发现，iOS和OS X系统中负责保管用户账号和密码的钥匙串存在一个重大漏洞，恶意程序可以借此盗取用户密码等关键信息。

据悉，该漏洞被研究人员命名为“未授权的跨应用资源获取”，黑客们可以通过它劫持钥匙串访问控制机制以获得存储于多个应用与网站上的用户信息，而且令人更加担心的是，该漏洞在本来用于防范此类攻击的沙盒模式下仍然有效。不仅如此，劫持钥匙串访问机制的恶意程序还能被伪装成一般应用，并且成功通过苹果审核上架App Store应用商店。一旦这款恶意程序被用户下载安装，存储在谷歌Chrome、Facebook、印象笔记以及微信等主流应用甚至是iCloud中的用户信息就都保不住了。

值得一提的是，研究人员早在去年10月就将该漏洞的详细信息告知苹果，虽然苹果表示修复漏洞大概需要6个月的时间，但是到目前为止，这一漏洞仍存在于OS X 10.10.3和10.10.4中，而是否波及OS X El Captain目前仍不清楚，因此对用户来说被攻击的风险依旧存在。另外，该团队对还公布了一系列漏洞演示视频，感兴趣的朋友不妨来看一下吧！