蘋(píng)果iOS系統升級曝漏洞 危及數百萬(wàn)平板/手機用戶(hù)數據安全

據外媒報道，蘋(píng)果公司始終在為保證iOS平臺的安全而戰，但它最近犯了個(gè)不可原諒的錯誤，甚至導致整個(gè)平臺“門(mén)戶(hù)大開(kāi)”。有消息透露，在向iOS 12.4遷移升級過(guò)程中，蘋(píng)果曾經(jīng)修補過(guò)的舊漏洞再次被破解，所以運行最新版本iOS的iPhone有可能運行未簽名的代碼。

該漏洞不會(huì )影響在A(yíng)12芯片系統上運行的硬件，iPhone X將受到影響，但不會(huì )影響iPhone XR、iPhone XS或iPhone XS Max。

這可能是希望訪(fǎng)問(wèn)替代應用商店或訪(fǎng)問(wèn)通常不公開(kāi)功能的用戶(hù)的故意選擇(典型的越獄行為)，但它更有可能被惡意使用，例如使用另一個(gè)應用程序中的漏洞，該應用程序允許代碼在任何最新的iPhone上遠程運行。

這是蘋(píng)果的一個(gè)巨大錯誤，怎么強調都不為過(guò)。但有些限制需要注意：首先，該漏洞不會(huì )影響在A(yíng)12芯片系統上運行的硬件，iPhone X將受到影響，但不會(huì )影響iPhone XR、iPhone XS或iPhone XS Max。不幸的是，蘋(píng)果從未公布過(guò)新款手機的銷(xiāo)售數據，因此有多少用戶(hù)受到影響尚不得而知。

此外，用戶(hù)還需要安裝IOS 12.4，這是蘋(píng)果將其用戶(hù)群轉移到最新版本移動(dòng)操作系統的能力無(wú)法獲得幫助的時(shí)刻。不幸的是，蘋(píng)果將iOS 12.2和12.3從其服務(wù)器上撤下，并撤銷(xiāo)了它們的簽名，所以別無(wú)選擇，用戶(hù)只能升級到iOS 12.4。

對于那些為方便自己訪(fǎng)問(wèn)某些功能而越獄的人來(lái)說(shuō)，如果他們使用蘋(píng)果的在線(xiàn)服務(wù)，很可能會(huì )出現持續的問(wèn)題。毫無(wú)疑問(wèn)，這將會(huì )導致反復檢查連接到他們的設備。

在現實(shí)世界中，讓我們將這些拼圖塊拼合起來(lái)：用戶(hù)可以從蘋(píng)果應用商店下載一個(gè)應用程序，它利用此漏洞“逃脫”操作系統提供的iOS沙箱。

專(zhuān)門(mén)研究iOS系統的安全研究員和培訓師喬納森·萊文（Jonathan Levin）指出：“由于iOS 12.4是目前可用的最新版本iOS系統，也是蘋(píng)果唯一允許升級的版本，在接下來(lái)的幾天(直到12.4.1發(fā)布)，運行此版本系統的所有設備(或12.3以下的任何版本)都是可破解的。這意味著(zhù)，它們也容易受到實(shí)際上已經(jīng)暴露100天以上的漏洞攻擊?！?/p>

鑒于蘋(píng)果在100多天前就被谷歌的Project Zero團隊告知了這個(gè)漏洞，對蘋(píng)果用戶(hù)安全制度不友好的人很有可能會(huì )意識到這個(gè)問(wèn)題，并有可能在后臺悄悄地使用它。同時(shí)，如果用戶(hù)使用的是iOS 12.3，請不要升級到iOS 12.4，以便在接下來(lái)的幾天內受到保護。