蘋果iOS系統(tǒng)升級曝漏洞 危及數(shù)百萬平板/手機(jī)用戶數(shù)據(jù)安全
據(jù)外媒報道,蘋果公司始終在為保證iOS平臺的安全而戰(zhàn),但它最近犯了個不可原諒的錯誤,甚至導(dǎo)致整個平臺“門戶大開”。有消息透露,在向iOS 12.4遷移升級過程中,蘋果曾經(jīng)修補(bǔ)過的舊漏洞再次被破解,所以運行最新版本iOS的iPhone有可能運行未簽名的代碼。
本文引用地址:http://cafeforensic.com/article/201908/403953.htm該漏洞不會影響在A12芯片系統(tǒng)上運行的硬件,iPhone X將受到影響,但不會影響iPhone XR、iPhone XS或iPhone XS Max。
這可能是希望訪問替代應(yīng)用商店或訪問通常不公開功能的用戶的故意選擇(典型的越獄行為),但它更有可能被惡意使用,例如使用另一個應(yīng)用程序中的漏洞,該應(yīng)用程序允許代碼在任何最新的iPhone上遠(yuǎn)程運行。
這是蘋果的一個巨大錯誤,怎么強(qiáng)調(diào)都不為過。但有些限制需要注意:首先,該漏洞不會影響在A12芯片系統(tǒng)上運行的硬件,iPhone X將受到影響,但不會影響iPhone XR、iPhone XS或iPhone XS Max。不幸的是,蘋果從未公布過新款手機(jī)的銷售數(shù)據(jù),因此有多少用戶受到影響尚不得而知。
此外,用戶還需要安裝IOS 12.4,這是蘋果將其用戶群轉(zhuǎn)移到最新版本移動操作系統(tǒng)的能力無法獲得幫助的時刻。不幸的是,蘋果將iOS 12.2和12.3從其服務(wù)器上撤下,并撤銷了它們的簽名,所以別無選擇,用戶只能升級到iOS 12.4。
對于那些為方便自己訪問某些功能而越獄的人來說,如果他們使用蘋果的在線服務(wù),很可能會出現(xiàn)持續(xù)的問題。毫無疑問,這將會導(dǎo)致反復(fù)檢查連接到他們的設(shè)備。
在現(xiàn)實世界中,讓我們將這些拼圖塊拼合起來:用戶可以從蘋果應(yīng)用商店下載一個應(yīng)用程序,它利用此漏洞“逃脫”操作系統(tǒng)提供的iOS沙箱。
專門研究iOS系統(tǒng)的安全研究員和培訓(xùn)師喬納森·萊文(Jonathan Levin)指出:“由于iOS 12.4是目前可用的最新版本iOS系統(tǒng),也是蘋果唯一允許升級的版本,在接下來的幾天(直到12.4.1發(fā)布),運行此版本系統(tǒng)的所有設(shè)備(或12.3以下的任何版本)都是可破解的。這意味著,它們也容易受到實際上已經(jīng)暴露100天以上的漏洞攻擊?!?/p>
鑒于蘋果在100多天前就被谷歌的Project Zero團(tuán)隊告知了這個漏洞,對蘋果用戶安全制度不友好的人很有可能會意識到這個問題,并有可能在后臺悄悄地使用它。同時,如果用戶使用的是iOS 12.3,請不要升級到iOS 12.4,以便在接下來的幾天內(nèi)受到保護(hù)。
評論