苹果ios安全组件源代码遭泄露,外媒称“历史上最大的漏洞”

   周三由未知方在GitHub上发布,据称是苹果iOS的iBoot组件的源代码,该软件处理操作系统安全引导的软件,这一发现可能导致发现和利用目前未知的漏洞。

  iBoot是苹果公司一直坚持的一个组件,现在仍在加密它的64位图像。而如今,它已经以源代码形式开放了。

  根据其他安全专家的逆向工程,泄露的iBoot代码虽然来自iOS9。但是,任何发现的iBoot漏洞都可能导致新的越狱,甚至解密iPhone。漏洞也可以让黑客在非苹果平台上模拟iOS。

  以前版本的iBoot内部的漏洞,使得黑客可以通过规避锁屏保护来闯入老式的iPhone,但是近期硬件方面的进步,已经不可能再做到这一点。

  也就是说,如果没有对iBoot代码中的漏洞进行全面分析,以及这些漏洞如何影响现版本的迭代,就不可能分析破解。该方程的后半部分涉及大量的试验和错误,因为苹果公司的启动加载代码没有公开的审查。

  2月9日,苹果公司针对于泄露出来的iOS源代码引发的安全担忧做出回应称,任何的潜在漏洞都会过时。

  “3年前的旧代码似乎被泄露出去。”苹果在声明中说,“但我们产品的安全设计并不依赖于我们源代码中的秘密。产品内部还有很多硬件和软件保护层,我们也一直鼓励客户升级到最新系统,以便受益于最新的保护。”

  iOS 9的iBoot源代码是保护iPhone和iPad安全的核心部分,但最近却在GitHub上泄露出来。iBoot确保了所有加载在苹果设备上的软件安全,至今未被篡改。

  由于iBoot对iOS设备的安全如此重要,所以苹果才提供了金额最高的漏洞奖励项目——任何能够在这套代码中找到漏洞的人均可获得20万美元奖金。

  这套泄露出来的源代码被苹果视作一项重要的安全问题,因为黑客可以对其进行深度挖掘,并寻找其中的漏洞。苹果已经使用《数字千年版权法案》,要求GitHub撤下相关页面,但该代码已经有多份复制品传播到网上。

  这份泄露出来的iOS源代码最早于2015年发布,只有7%的iOS设备仍在运行版本低于iOS 10的系统,后者于2016年9月发布。

  “泄露出来的iBoot代码来自旧版iOS,所以无论人们找到什么漏洞,可能都不再重要。”安全公司Tinfoil Security联合创始人迈克尔·波罗霍夫斯基(Michael Borohovski)说。

  但由于2016年以来,全世界的iOS设备超过10亿台,所以至少仍有7000万用户可能受到新漏洞的影响。

  简单来说,如果你还没有升级iOS,那就赶紧升级吧。