蘋果iOS系統(tǒng)升級(jí)曝漏洞 危及數(shù)百萬平板/手機(jī)用戶數(shù)據(jù)安全
據(jù)外媒報(bào)道,蘋果公司始終在為保證iOS平臺(tái)的安全而戰(zhàn),但它最近犯了個(gè)不可原諒的錯(cuò)誤,甚至導(dǎo)致整個(gè)平臺(tái)“門戶大開”。有消息透露,在向iOS 12.4遷移升級(jí)過程中,蘋果曾經(jīng)修補(bǔ)過的舊漏洞再次被破解,所以運(yùn)行最新版本iOS的iPhone有可能運(yùn)行未簽名的代碼。
本文引用地址:http://butianyuan.cn/article/201908/403953.htm該漏洞不會(huì)影響在A12芯片系統(tǒng)上運(yùn)行的硬件,iPhone X將受到影響,但不會(huì)影響iPhone XR、iPhone XS或iPhone XS Max。
這可能是希望訪問替代應(yīng)用商店或訪問通常不公開功能的用戶的故意選擇(典型的越獄行為),但它更有可能被惡意使用,例如使用另一個(gè)應(yīng)用程序中的漏洞,該應(yīng)用程序允許代碼在任何最新的iPhone上遠(yuǎn)程運(yùn)行。
這是蘋果的一個(gè)巨大錯(cuò)誤,怎么強(qiáng)調(diào)都不為過。但有些限制需要注意:首先,該漏洞不會(huì)影響在A12芯片系統(tǒng)上運(yùn)行的硬件,iPhone X將受到影響,但不會(huì)影響iPhone XR、iPhone XS或iPhone XS Max。不幸的是,蘋果從未公布過新款手機(jī)的銷售數(shù)據(jù),因此有多少用戶受到影響尚不得而知。
此外,用戶還需要安裝IOS 12.4,這是蘋果將其用戶群轉(zhuǎn)移到最新版本移動(dòng)操作系統(tǒng)的能力無法獲得幫助的時(shí)刻。不幸的是,蘋果將iOS 12.2和12.3從其服務(wù)器上撤下,并撤銷了它們的簽名,所以別無選擇,用戶只能升級(jí)到iOS 12.4。
對于那些為方便自己訪問某些功能而越獄的人來說,如果他們使用蘋果的在線服務(wù),很可能會(huì)出現(xiàn)持續(xù)的問題。毫無疑問,這將會(huì)導(dǎo)致反復(fù)檢查連接到他們的設(shè)備。
在現(xiàn)實(shí)世界中,讓我們將這些拼圖塊拼合起來:用戶可以從蘋果應(yīng)用商店下載一個(gè)應(yīng)用程序,它利用此漏洞“逃脫”操作系統(tǒng)提供的iOS沙箱。
專門研究iOS系統(tǒng)的安全研究員和培訓(xùn)師喬納森·萊文(Jonathan Levin)指出:“由于iOS 12.4是目前可用的最新版本iOS系統(tǒng),也是蘋果唯一允許升級(jí)的版本,在接下來的幾天(直到12.4.1發(fā)布),運(yùn)行此版本系統(tǒng)的所有設(shè)備(或12.3以下的任何版本)都是可破解的。這意味著,它們也容易受到實(shí)際上已經(jīng)暴露100天以上的漏洞攻擊?!?/p>
鑒于蘋果在100多天前就被谷歌的Project Zero團(tuán)隊(duì)告知了這個(gè)漏洞,對蘋果用戶安全制度不友好的人很有可能會(huì)意識(shí)到這個(gè)問題,并有可能在后臺(tái)悄悄地使用它。同時(shí),如果用戶使用的是iOS 12.3,請不要升級(jí)到iOS 12.4,以便在接下來的幾天內(nèi)受到保護(hù)。
評論