近日,開(kāi)源代碼分(fēn)享網站 GitHub(軟件項目托管平台)上有人共享了 iPhone 操作系統的核心組件源碼,洩露的代碼屬于 iOS 安全系統的重要組成部分(fēn)—— iBoot,iBoot相當于是 Windows 電(diàn)腦的 BIOS 系統。此次 iBoot 源碼洩露可能讓數以億計的 iOS 設備面臨安全威脅。iOS與MacOS系統開(kāi)發者Jonathan Levin表示,這是 iOS 曆史上最嚴重的一(yī)次洩漏事件。
幾個月前,iBoot源碼最開(kāi)始在 Reddit社交平台上在線共享,當出現在 GitHub 上的時候,意味着這份源碼已經被大(dà)量下(xià)載。
iBoot 一(yī)直以來都被蘋果視作 iOS 的關鍵組件,本質上是保證iOS内核由蘋果簽名認證,同時執行與加載iOS系統啓動的關鍵任務。蘋果此前還曾懸賞20萬美元鼓勵開(kāi)發者發現并上報 iBoot 系統漏洞。iBoot源代碼包含蘋果的版權聲明,這些代碼并非開(kāi)源共享使用,蘋果已經要求GitHub迅速删除了這些代碼,盡管這些代碼已經删除,但網上還是存在備份。
多名安全專家确認,這些代碼确實來自 iOS ,屬于 iOS 9 版本的老系統。iOS 9發布于3年前,目前已經被iOS 11所取代,隻有少量iOS設備仍然運行iOS 9,iOS 9 版本的iBoot源碼和當前最新的 iOS 11.2.5存在小(xiǎo)部分(fēn)重合的源碼。根據蘋果App Store應用商(shāng)店(diàn)開(kāi)發者支持網頁上的數據,目前:
65%的iOS設備運行iOS 11;
28%運行iOS 10;
7%的iOS設備運行iOS 9等老版操作系統。
由于 iOS 設備都支持Secure Enclave安全保護,而且這份洩露的源碼缺少文件,還不能被完全編譯,所以此次洩露不會導緻大(dà)量 iOS 設備直接受到攻擊。即使 iOS 設備不會被直接攻擊,不排除黑客和安全研究人員(yuán)會研究這些源代碼,從中(zhōng)發現iOS安全漏洞的可能。有黑客表示,這次洩漏的源代碼将這有助于他們輕松爲iPhone找到永久越獄的漏洞。
目前外(wài)界不知(zhī)道究竟是誰洩露了這段iBoot的源代碼。蘋果于當地時間2018年2月8日上午發表聲明稱,證實洩露到GitHub上的代碼确實是iBoot源代碼,但強調對iPhone安全沒有影響。蘋果方面認爲,蘋果産品的安全性并不取決于源代碼的保密性。蘋果的産品還内置了許多硬件和軟件保護層來保障用戶的安全。
上一(yī)篇:數據洩露事故訴訟:企業應該怎麽做?
下(xià)一(yī)篇:GitHub已經基于Memcached的DDoS攻擊規範達1.35Tbps