yifouhu 2018-02-09
近段时间,苹果的安全团队十分忙碌,从11月的最新 macOS 系统被爆出现最大漏洞,到12月受到英特尔Spectre和Meltdown漏洞的牵连,苹果像救火队员一样到处灭火,每每道歉。乔帮主,十年前你一定想不到会有今天。
昨日CSDN消息称,外媒曝光苹果iOS系统中“某段以iBoot命名的源码被泄露到了GitHub上”。据了解,该段代码来自于 iOS 9,与当前苹果的 iOS 11.2.5 版本系统并没有太大关系,但是,iOS 9 中的部分代码可能仍然存在于 iOS 11 中。
这一度引起了业界恐慌,因为:通过访问iBoot的源代码,黑客们或许可以更轻松地找到允许他们破解或解密iPhone的漏洞,甚至让高级开发者们在非苹果平台上模拟iOS系统。
目前,尽管苹果已经通过DMCA条例将GitHub上的源代码删除,但代码的多个副本已经在网上传播开来。北京时间2月9日,苹果公司对此次事件进行了回复,证实iOS源代码泄露,但强调对iPhone设备安全没有影响。
在一份声明中,苹果公司表示:“三年前的旧版源代码似乎已经泄露到了网上,但从设计上看,我们的产品安全性并不取决于源代码的保密性。我们的产品有着多层软、硬件上的安全保护,并始终鼓励用户升级到最新版本操作系统,以享受最新的安全技术。”
而根据苹果App Store应用商店开发者支持网页上的数据上看,65%的iOS设备运行iOS 11,28%运行iOS 10,仅有7%的iOS设备运行iOS 9等老版操作系统。
也就是说,从时间上来讲,泄露的源代码最初在2015年出现,不会影响用户使用。随后,Tinfoil Security联合创始人Michael Borohovski则向CNET证实称:“泄漏的iBoot源码来自于老版的iOS,所以无论是谁挖出这个漏洞都不可能再受影响。”
此外,在另外一篇来自TechCrunch的报道中,安全研究人员Will Strafach在一封电子邮件中曾向其表示:“就终端用户而言,其实不存在或正面或负面的影响。因为,苹果公司并没有通过隐晦的方式构建安全防范,所以基本不存在任何风险性,只是有一个更易于阅读的引导加载程序代码格式。用户都是通过密码在设备上签名的,因此也不会产生某些恶意内容。”
换言之,苹果iOS多层次安全保护措施其实比此次在GitHub上泄露的一段源码要多得多。例如新款iPhone已经受到了“安全区域”Secure Enclave的保护,其不会把源代码的保密作为唯一一项安全措施。
不过,这未必就能完全证明不会对iOS设备的用户带来潜在威胁。
数据显示,自2016年以来全球使用的iOS设备超过10亿台,但不排除至少有7000万台仍会受到新漏洞的影响。
“一旦黑客获取了源码,无论是越狱还是绕过苹果系统进行别的行为,总之都是大概率事件。”安全公司TrustedSec首席执行官David Kennedy提到。
在最后,责编的小姐姐还要声明下:本文作者“琥珀”使用的iPhone X恰巧就是仍然运行iOS9系统的7%设备。不信你们看!
参考资料:
https://github.com/github/dmca/blob/master/2018/2018-02-07-Apple.md
https://www.reddit.com/r/jailbreak/comments/71p5qs/newsiboot_bootrom_ibss_ibec_illb_source_codes/
https://techcrunch.com/2018/02/08/apple-addresses-ios-source-code-leak-says-it-appears-to-be-tied-to-three-year-old-software/
http://news.softpedia.com/news/apple-says-leaked-ios-source-code-is-outdated-new-iphones-are-secure-by-design-519727.shtml