騰訊科技訊 8月20日消息,據外媒報導,蘋果公司始終在為保證iOS平台的安全而戰,但它最近犯了個不可原諒的錯誤,甚至導致整個平台“門戶大開”。有消息透露,在向iOS 12.4遷移升級過程中,蘋果曾經修補過的舊漏洞再次被破解,所以運行最新版本iOS的iPhone有可能運行未簽名的代碼。
這可能是希望訪問替代應用商店或訪問通常不公開功能的用戶的故意選擇(典型的越獄行為),但它更有可能被惡意使用,例如使用另一個應用程序中的漏洞,該應用程序允許代碼在任何最新的iPhone上遠程運行。
這是蘋果的一個巨大錯誤,怎麽強調都不為過。但有些限制需要注意:首先,該漏洞不會影響在A12芯片系統上運行的硬體,iPhone X將受到影響,但不會影響iPhone XR、iPhone XS或iPhone XS Max。不幸的是,蘋果從未公布過新款手機的銷售數據,因此有多少用戶受到影響尚不得而知。
此外,用戶還需要安裝IOS 12.4,這是蘋果將其用戶群轉移到最新版本移動作業系統的能力無法獲得幫助的時刻。不幸的是,蘋果將iOS 12.2和12.3從其伺服器上撤下,並撤銷了它們的簽名,所以別無選擇,用戶只能升級到iOS 12.4。
對於那些為方便自己訪問某些功能而越獄的人來說,如果他們使用蘋果的在線服務,很可能會出現持續的問題。毫無疑問,這將會導致反覆檢查連接到他們的設備。
在現實世界中,讓我們將這些拚圖塊拚合起來:用戶可以從蘋果應用商店下載一個應用程序,它利用此漏洞“逃脫”作業系統提供的iOS沙箱。
專門研究iOS系統的安全研究員和培訓師喬納森·萊文(Jonathan Levin)指出:“由於iOS 12.4是目前可用的最新版本iOS系統,也是蘋果唯一允許升級的版本,在接下來的幾天(直到12.4.1發布),運行此版本系統的所有設備(或12.3以下的任何版本)都是可破解的。這意味著,它們也容易受到實際上已經暴露100天以上的漏洞攻擊。”
鑒於蘋果在100多天前就被谷歌的Project Zero團隊告知了這個漏洞,對蘋果用戶安全制度不友好的人很有可能會意識到這個問題,並有可能在後台悄悄地使用它。同時,如果用戶使用的是iOS 12.3,請不要升級到iOS 12.4,以便在接下來的幾天內受到保護。(騰訊科技審校/金鹿)
香港九龍灣馬來街興發大廈15樓D室