freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

iOS 9关键组件iBoot源码泄漏到GitHub,目前已经紧急删除
2018-02-10 15:00:36

近期,以安全著称的苹果iOS系统被曝出iBoot源码泄漏,被发布到GitHub,这几乎是iOS系统有史以来遭遇到的最大的安全事故了。黑客可利用此源码发现iOS 系统漏洞,更轻松越狱。

不过在消息传出之后,苹果也很快联系GitHub删除了源码,但互联网上存在的许多副本就可能没办法彻底解决了。

iPhone-Matrix-Code-Exploit.jpg

iBoot是iOS系统安全的关键组件,作为iOS设备开启时运行的第一个软件。它负责检查平台的完整性以及内核是否正确签名。因此,iBoot对于iOS系统来说非常重要,作为Bug奖励计划的一部分,苹果甚至愿意为发现iBoot漏洞者提供高达20万美金的奖励。

ios-iboot-source-code.png

此次泄漏的源码来自iOS  9.3.X版本。虽然最新版的iOS 系统已经升级到了iOS 11,但iOS 9仍然有不少用户在使用,同时其中一部分可能仍人包含在iOS 11中,黑客可通过分析该源码查找安全漏洞。

在苹果要求删除源码的通知中,似乎也确认了这次泄漏源码的真实性,苹果称:

根据这些法律,以下(通过URL)标识的存储库中的文件是非法的,因为除其他事项外,这些文件提供未经版权所有者授权分发版权项目;

复制苹果的“iBoot”源代码,负责确保苹果iOS软件的可信引导操作。“iBoot”源代码是专有的,它包括苹果的版权声明,它不是开源的。

目前GitHub上的iBoot源码已经被删除,但其副本现在正通过私人文件共享网站(如Mega.nz等)在越狱爱好者之间共享。包含泄露源代码副本的新版本库也会每隔几个小时在GitHub上弹出一次。

安全研究人员透露,这个代码在四个月前实际上泄露了,当时用户在Reddit上分享了一个链接,当时这个链接被用户发布的要求自动删除,因此被忽略了。

微信截图_20180209170621.png

不过也有一些安全专家持有不同意见,他们并不认为这次泄漏会产生多大影响,因为iBoot源代码经常被反向设计为日常查错操作和科学研究的一部分。过去几年一直存在着不准确的副本,而这次事故显然是被炒作的有点过头了。

对于普通用户而言,将iPhone升级到最新版本的iOS 系统能够有效降低安全风险。而本次iBoot源码泄漏事件的后续,FreeBuf会密切关注,看苹果如何回应并采取何种措施来降低风险。

*参考来源:thehackernewsbleepingcomputer,FB小编Andy编译,转载请注明来自FreeBuf.COM

# ios # iBoot
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者