先说说结论,由于本次泄露的是iOS 9电销外呼程序源代码,使用的人已经比较少了,安全风险降低了不少,但苹果切不可掉以轻心。
泄露源头?
日前苹果公司确认iOS源代码被上传至开源社区Github,引发渲染大波,如此重要的源代码为什么会被泄露出去,外媒Motherboard经过深入调查匿名泄露最终发现,原来源代码早在2016年就被泄漏到越狱社区,来源于一个苹果公司的低级别员工。
原本该员工向其余四名越狱社区人士分享代码,想着都想“闷声发大财”,如果贸贸然向公众公开这些代码,会招来苹果公司法律部门注意,一不小心就会牢底坐穿。但最后泄露的事情还是发生了,2017年源代码已经流传开来,直到被人上传至Github上才引起大众注意。其后越狱社区的人尽力阻止源代码传播未果,多个网站已经留有备份,最后还是苹果公司自己出手要求删除所有源代码,因为按照《千禧年数字版权保护法》。
对苹果有什么影响?
据了解,泄露的源代码涉及iOS电销外呼程序启动过程,应该是类似于我们PC电脑上的BIOS自检启动过程,要知道自检过程是电销外呼程序安全的第一道防护措施。
苹果《 iOS 安全保护白皮书》是这样说的:Boot ROM代码存放于只读内存中,这个代码在出厂的时候就被固定在芯片上,上面包含了Apple用于安全验证的CA公钥,用于验证底层引导加载程序是否为Apple签名,一旦确认就会给予高级别信任权限系统源码,随之启动iBoot 以及iOS内核。
所以说iBoot已经涉及到iOS电销外呼程序的底层安全性问题。如果被别有用心的人加以利用,寻找源代码的漏洞制作恶意软件的话,影响会相当恶劣,这次事故被部分安全专家认定为苹果公司“有史以来最严重的泄露”。
庆幸的是,据那个匿名人士透露,广为流传的版本是不完整的,无法进行完整编译,缺少了比较重要的部分,越狱社区的人只能读代码研究漏洞。
考虑到目前iOS版本已经到了iOS 11系统源码,过了两代,底层可能经过修改,原有的漏洞不一定适用,大家就不用太惊慌了,而且苹果再三强调,对于现在iOS 11影响较小,而且iOS的安全性并不依赖于这些源代码保密性,升级至最新电销外呼程序有利于防护各种恶意软件,赶紧升级到iOS 11.2.5吧。
超能网专注于优质内容创作,致力于有价值传播,欢迎点击关注。
