苹果的资料外泄事件再添一桩!近日有人在 GitHub 公开 iPhone 的 iBoot 源代码,涉及旧版 iOS 9 操作系统,苹果官方随即发出 DMCA 法律声明要求 GitHub 删除。
不明人士公开 iBoot 源代码,恐泄漏 iOS 漏洞
国外媒体 Motherboard 报导指出,近日有不明人士在软件开发协作平台 GitHub 公开了标记为“iBoot”的源代码,专家研判应为驱动 iPhone 操作系统的程式码。
iBoot 属于 iOS 的一部分,负责确保操作系统可顺利启动;换句话说,iBoot 即是开启 iPhone 执行的第一个程序,验证核心机制是否由苹果加密签署才会执行,可视为 iPhone 的 BIOS(Basic Input/Output System)。
源代码显示为旧版本 iOS 9 操作系统,但有部分目前仍在 iOS 11 中使用。去年在美国最大论坛 Reddit,一名称为“apple_internals”的用户就曾在越狱讨论版发表源代码,但没有受到关注。如今再度上传 GitHub,可能意谓已在地下越狱社群或骇客界广泛流传了。
虽然近几年 iOS 与 macOS 有部分采取开源(open source)态度,但 iBoot 一直属于保密资料。资安研究人员若取得源代码,可从中找出 iOS 的漏洞,并透过苹果的漏洞赏金计划回报;一旦落入骇客手中,可能针对漏洞进行恶意攻击,或使 iPhone 更容易越狱。
(Source:Motherboard)
苹果要求 GitHub 删除,并称是 3 年前的版本
越狱工具开发者 Jonathan Levin 向 Motherboard 表示,这些似乎是真正的 iBoot 源代码,与他逆向工程所得到的资料一致,并称这次将是苹果有史以来极为严重的资料外泄事件。
事发几个小时后,苹果发出 DMCA(Digital Millennium Copyright Act,数位千禧年著作权法)法律声明,要求 GitHub 删除公开的源代码。声明指出“iBoot 源代码具有所有权,它包含苹果的版权声明,不属于开源。”GitHub 随即将其下架。
官方也向国外媒体 TechCrunch 说明,3 年前旧的源代码似乎已被泄露,但苹果产品的安全性建构在硬件与软件的多层保护,用户可升级系统至最新版本以受到保护。
过去我们常听闻骇客或少数开发者暴力破解 iBoot 以进行越狱,但现在 iPhone 内建 Secure Enclave 副处理器,为软件与硬件提供安全防护。由于先进的安全机制,使资安研究人员很难找寻漏洞,一度流行的越狱社群也不再活跃。
- Key iPhone Source Code Gets Posted Online in ‘Biggest Leak in History’
- Apple addresses iOS source code leak, says it appears to be tied to three-year-old software
(首图来源:Flickr/Kārlis Dambrāns CC BY 2.0)
延伸阅读:
- 苹果全产品遭芯片漏洞波及,急释更新补救
