2026 年 3 月 24 日,Apple 发布了涵盖 iOS、iPadOS、macOS、visionOS 及 watchOS 的同步安全更新,其中修复了一个编号为CVE-2026-28877的漏洞。该漏洞属于授权绕过类型,允许本地安装的恶意 App 绕过系统授权机制,直接访问用户的敏感数据。
1. 漏洞概览
| 属性 | 详情 |
|---|---|
| CVE ID | CVE-2026-28877 |
| 漏洞类型 | 授权绕过(Authorization Bypass) |
| 披露日期 | 2026 年 3 月 25 日 |
| CVSS 3.1 评分 | 5.5(中等) |
| CWE 分类 | CWE-200(敏感信息暴露) |
| 利用条件 | 本地访问 + 恶意 App 安装 |
| 公开利用 | 截至目前无公开 PoC/Exploit |
2. 技术深度剖析
2.1 漏洞本质:状态管理的缺失
CVE-2026-28877 的根源在于 Apple 操作系统授权机制的状态管理缺陷。官方公告中的描述为:“已通过改进状态管理解决授权问题”
在正常授权流程中,App 请求访问敏感数据时,系统会触发权限验证。该验证过程涉及一个状态机,用于跟踪授权流程的每个阶段(从权限检查、用户许可提示到最终访问授权)。然而,在受影响版本中,该状态机的状态转换逻辑存在缺陷,使得攻击者可以操纵或绕过关键的授权检查点。
该缺陷在技术层面可能属于以下两种情况之一(或两者兼有):
- 条件竞争(Race Condition):在权限验证的某个短暂时间窗口内,恶意 App 可以利用并发操作提前获取授权令牌或绕过最终检查。
- 不当状态转换(Improper State Transition):攻击者可以将状态机推进到某个“已授权”的终态,而无需完成前置步骤。
Apple 的修复方案通过改进状态管理逻辑,确保了授权流程的完整性和原子性,使攻击者无法再通过篡改状态来绕过权限验证。
2.2 影响组件:Accounts 组件
根据 Apple 官方安全公告,该漏洞影响 macOS Tahoe 中的Accounts组件[reference:1]。Accounts 组件是 Apple 系统中管理用户账户信息、认证凭证和授权数据的关键底层框架。它负责:
- 管理用户账户的登录状态和认证令牌;
- 控制 App 对 iCloud 账户信息、邮件账户、通讯录等敏感数据的访问权限;
- 提供账户变更通知和同步机制。
由于 Accounts 组件在 Apple 生态系统中处于高权限位置,其权限控制如果被绕过,恶意 App 将能获得远超其应有权力的数据访问能力。
2.3 攻击场景
该漏洞的攻击路径高度明确,需满足以下条件:
前提条件:攻击者必须获得在目标设备上安装并运行恶意 App 的能力,可通过官方 App Store、企业分发(MDM)、TestFlight 测试渠道或社交工程诱导用户从非官方来源安装。
攻击执行:恶意 App 利用系统授权机制的状态管理缺陷发起攻击,无需获取 root 权限。
攻击结果:成功利用后,恶意 App 可绕过用户授权提示,直接访问敏感用户数据,包括但不限于:
- iCloud 账户信息及 iCloud 云盘文件;
- 邮件账户及通讯录;
- 账户认证令牌和凭证;
- 其他受 Accounts 组件保护的账户相关数据[reference:2]。
值得注意的是:截至 CVE-2026-28877 发布时,尚无公开可用的漏洞利用代码。然而,这并不意味着恶意行为者无法独立发现和利用该漏洞。
2.4 与 CVE-2026-28823 的区别
macOS Tahoe 26.4 的安全性内容中还修复了另一个相关但不同的漏洞CVE-2026-28823,影响Admin Framework组件,描述为“拥有根权限的 App 或许能够删除受保护的系统文件”。
这两个漏洞的影响范围存在明确差异:
- CVE-2026-28877:影响 Accounts 组件,攻击者为普通权限 App,可读取敏感数据;
- CVE-2026-28823:影响 Admin Framework,攻击者需已具备根权限,可删除系统文件。
简言之,CVE-2026-28877 的破坏链更短(普通权限 App 即可直接访问敏感数据),而 CVE-2026-28823 则需要更高的初始权限。
3. CVSS 评分深度解析
根据 NVD 和 CISA-ADP 的评估,该漏洞的 CVSS 3.1 基础评分为5.5(中等)。评分向量CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N的详细解读如下:
| 指标 | 值 | 含义 |
|---|---|---|
| 攻击路径(AV) | Local | 攻击者需要在目标设备上安装并运行恶意 App[reference:6] |
| 攻击复杂度(AC) | Low | 利用过程无需特殊条件或复杂操作 |
| 权限要求(PR) | Low | 恶意 App 无需高级权限即可发起攻击 |
| 用户交互(UI) | None | 利用过程对用户透明,无需额外操作 |
| 范围(S) | Unchanged | 漏洞影响仅限于当前安全边界内 |
| 机密性影响(C) | High | 敏感数据完全暴露 |
| 完整性影响(I) | None | 无法修改或删除数据 |
| 可用性影响(A) | None | 不涉及系统可用性问题 |
需要指出的是,NVD 采用AV:L/AC:L/PR:L/UI:N向量得出5.5评分,而 CISA-ADP 采用AV:L/AC:L/PR:N/UI:R向量(无需权限但需要用户交互)同样得出 5.5 评分。两种评估路径得出相同的最终评分,表明该漏洞的严重程度评估具有较高一致性。
4. 受影响产品与修复版本
该漏洞影响 Apple 全线主流操作系统,涉及版本覆盖广泛。以下是受影响版本与修复版本的完整对照表:
| 受影响系统 | 受影响版本 | 修复版本 | 受影响设备示例 |
|---|---|---|---|
| iOS | 26.4 及更早版本 | iOS 26.4 | iPhone 11 及后续机型[reference:8] |
| iPadOS | 26.4 及更早版本 | iPadOS 26.4 | iPad Pro 12.9 英寸第 3 代及后续机型[reference:9] |
| macOS Sequoia | 15.7.5 及更早版本 | macOS Sequoia 15.7.5 | 所有运行受影响 macOS Sequoia 版本的 Mac |
| macOS Tahoe | 26.4 及更早版本 | macOS Tahoe 26.4 | 所有运行受影响 macOS Tahoe 版本的 Mac[reference:10] |
| visionOS | 26.4 及更早版本 | visionOS 26.4 | Apple Vision Pro(所有型号)[reference:11] |
| watchOS | 26.4 及更早版本 | watchOS 26.4 | 所有运行受影响 watchOS 版本的 Apple Watch[reference:12] |
⚠️特别注意:部分旧版系统(如 iOS 18.x)可能不受 CVE-2026-28877 直接影响,因 Accounts 组件在系统架构中存在差异。但为全面保障设备安全,建议所有用户升级至官方推荐的最新版本。
5. 时间线
- 2026 年 3 月 24 日:Apple 发布包含安全修复的系统更新;
- 2026 年 3 月 25 日:CVE-2026-28877 正式发布至 NVD;
- 2026 年 3 月 27 日:Apple 官方中文支持页面更新;
- 2026 年 4 月 2 日:SecuriTricks 等安全站点开始发布技术分析。
6. 发现者与致谢
该漏洞由安全研究员Rosyna Keller发现并报告给 Apple。Rosyna Keller 隶属安全研究机构Totally Not Malicious Software。Apple 在其官方安全公告中向该研究员致谢。
7. 开源漏洞背景说明
Apple 官方安全公告中特别注明:“这是开源代码中的一个漏洞,Apple 软件也在受影响的项目之列。这个 CVE-ID 由第三方分配。
这意味着 CVE-2026-28877 的原始漏洞存在于某个开源项目中,Apple 的操作系统因使用了该开源组件而继承了该漏洞。从技术角度推测,Accounts 组件可能依赖某个开源的身份认证或状态管理库,该开源库中存在状态管理的安全缺陷。由于 Apple 未披露具体的开源项目名称,建议企业安全团队关注后续披露信息。
这一背景还解释了 CVE-2026-28877 影响范围广的原因:开源组件的漏洞被多个 Apple 操作系统共用,因此漏洞同时影响 iOS、macOS、visionOS 和 watchOS 等多个平台。
8. 检测与缓解
8.1 如何确认是否受影响
用户可通过以下步骤快速确认系统版本:
- iPhone / iPad:设置 > 通用 > 关于本机,查看“iOS 版本”或“iPadOS 版本”;
- Mac:点击左上角 > 关于本机,查看“macOS 版本”;
- Apple Watch:Watch App > 通用 > 关于本机;
- Apple Vision Pro:设置 > 通用 > 关于本机。
若系统版本号低于上表所列修复版本,则设备存在漏洞风险。
8.2 官方修复建议
唯一彻底的修复方案是将所有 Apple 设备更新至相应的修复版本:
- iPhone / iPad:设置 > 通用 > 软件更新;
- Mac:系统设置 > 通用 > 软件更新;
- Apple Watch:Watch App > 通用 > 软件更新;
- Apple Vision Pro:设置 > 通用 > 软件更新。
8.3 临时风险缓解
在无法立即更新的情况下,可采取以下措施降低风险:
- 仅从官方渠道安装应用:避免安装来源不明的 App 或描述文件;
- 限制账户访问权限:对于 macOS 设备,可为日常操作创建标准用户账户而非管理员账户;
- 部署终端检测响应(EDR):监控异常的 App 权限请求和数据访问行为;
- 定期审计已安装应用:移除不再使用或来源可疑的 App。
9. 总结与建议
CVE-2026-28877 是一个典型的本地授权绕过漏洞,因 Apple 操作系统核心组件 Accounts 的状态管理缺陷导致。虽然 CVSS 评分仅 5.5(中等),但其对机密性的高度影响值得警惕:一个低权限的恶意 App 即可在用户无感知的情况下读取 iCloud 账户信息等敏感数据。
核心建议:
- 立即更新所有 Apple 设备至官方修复版本;
- 保持警惕,即使从 App Store 安装应用也应留意异常的权限请求;
- 关注 Apple 安全公告,及时跟进后续的漏洞披露信息。
Apple 已通过改进状态管理彻底修复了该漏洞。请务必在第一时间完成系统更新,确保设备和数据安全。
