导航菜单

苹果iOS系统升级曝漏洞 危及数百万平板/手机用户数据安全



[摘要]此漏洞不会影响A12芯片系统上运行的硬件,iPhone X会受到影响,但不会影响iPhone XR,iPhone XS或iPhone XS Max。

641

腾讯科技讯8月20日消息,据国外媒体报道,苹果一直在努力确保iOS平台的安全性,但它最近犯了一个不可原谅的错误,甚至导致整个平台“门户网站开放”。据消息人士透露,在迁移到iOS 12.4的过程中,Apple修补的旧漏洞再次被破解,因此可以在运行最新版本iOS的iPhone上运行未签名的代码。

这可能是希望访问备用应用商店或访问通常不会暴露的功能的用户的故意选择(通常是越狱行为),但更有可能被恶意使用,例如在其他应用中使用漏洞允许代码在任何最新的iPhone上远程运行。

这是Apple的一个巨大错误。不能过分强调。但是,需要注意一些限制:首先,该漏洞不会影响A12芯片系统上运行的硬件,iPhone X会受到影响,但不会影响iPhone XR,iPhone XS或iPhone XS Max。不幸的是,Apple从未公布过新手机的销售数据,因此目前尚不清楚有多少用户受到影响。

此外,用户需要安装IOS 12.4,这是Apple将其用户群转移到最新版移动操作系统的能力无效的时候。不幸的是,Apple从他们的服务器中删除了iOS 12.2和12.3,并撤销了他们的签名,因此除了升级到iOS 12.4之外别无选择。

对于那些为了便于访问某些功能而越狱的人来说,如果他们使用Apple的在线服务,可能会存在持续存在的问题。毫无疑问,这将导致对连接到它们的设备进行重复检查。

在现实世界中,让我们整理这些拼图:用户可以从Apple App Store下载利用此漏洞的应用程序,以“逃避”操作系统提供的iOS沙箱。

专注于iOS的安全研究员和培训师Jonathan Levin表示:“由于iOS 12.4是目前可用的iOS系统的最新版本,因此它也是Apple在未来几天内允许升级的唯一版本(直到12.4) .1发布),所有运行此版本系统的设备(或任何低于12.3的版本)都是可以攻击的。这意味着它们也容易受到实际暴露超过100天的攻击。“

鉴于Apple的Project Zero团队在100多天前收到了此漏洞的通知,那些对Apple的用户安全系统不友好的人可能会意识到这个问题,并可能在后台安静地使用它。此外,如果用户使用的是iOS 12.3,请在接下来的几天内不要升级到iOS 12.4进行保护。 (腾讯科技评论/金路)