盡管安全研究人員在九個月之前就警告了蘋果的零日漏洞，但iPhone手機和Mac電腦至今還存在這些嚴重的漏洞。

美國兩所大學和中國北京大學在他們的聯合發表的論文中表示，在iOS和Mac OS X中存在的漏洞可以被利用來盜取密碼。研究人員先把惡意軟件上傳到蘋果商店公開發售，蘋果的掃描機制不會發出警報并阻止。這些惡意應用能夠盜取并發送設備中的各種密碼，包括iCloud，郵件以及存在谷歌Chrome中的所有密碼。

OS X中的應用沙箱設計是有漏洞的，它把應用本身的目錄暴露給被沙盒過的惡意軟件，而這個惡意軟件劫持了蘋果Bundle ID。

因此，像Evernote中的筆記、聯系人以及微信中的照片等敏感用戶數據，就都被暴露給惡意程序了。從根本上來說，這些問題是缺乏應用到應用，應用到操作系統的認證造成的。

每一個安卓應用都被賦予一個唯一的UID并以用戶權限運行，在這種進程保護機制下，自動的隔離了不同的應用。而蘋果的系統平臺只是使用UID把應用分成不同的組。

因此，由于“缺乏應用到應用，應用到操作系統的認證”，應用中的密碼并沒有得到足夠的保護。攻擊者得以實施未授權的跨應用的資源訪問，因此該漏洞被稱為XARA（Cross-App Resource Access）。

蘋果官方應用商店中的免費OS X和iOS的1612款應用中，約90%屬于“完全暴露”在這種攻擊之下。

蘋果的一位發言人日前稱，正在調查相關問題。