蘋果iOS系統(tǒng)升級曝漏洞 危及數(shù)百萬平板/手機用戶數(shù)據(jù)安全

據(jù)外媒報道，蘋果公司始終在為保證iOS平臺的安全而戰(zhàn)，但它最近犯了個不可原諒的錯誤，甚至導(dǎo)致整個平臺“門戶大開”。有消息透露，在向iOS 12.4遷移升級過程中，蘋果曾經(jīng)修補過的舊漏洞再次被破解，所以運行最新版本iOS的iPhone有可能運行未簽名的代碼。

該漏洞不會影響在A12芯片系統(tǒng)上運行的硬件，iPhone X將受到影響，但不會影響iPhone XR、iPhone XS或iPhone XS Max。

這可能是希望訪問替代應(yīng)用商店或訪問通常不公開功能的用戶的故意選擇(典型的越獄行為)，但它更有可能被惡意使用，例如使用另一個應(yīng)用程序中的漏洞，該應(yīng)用程序允許代碼在任何最新的iPhone上遠程運行。

這是蘋果的一個巨大錯誤，怎么強調(diào)都不為過。但有些限制需要注意：首先，該漏洞不會影響在A12芯片系統(tǒng)上運行的硬件，iPhone X將受到影響，但不會影響iPhone XR、iPhone XS或iPhone XS Max。不幸的是，蘋果從未公布過新款手機的銷售數(shù)據(jù)，因此有多少用戶受到影響尚不得而知。

此外，用戶還需要安裝IOS 12.4，這是蘋果將其用戶群轉(zhuǎn)移到最新版本移動操作系統(tǒng)的能力無法獲得幫助的時刻。不幸的是，蘋果將iOS 12.2和12.3從其服務(wù)器上撤下，并撤銷了它們的簽名，所以別無選擇，用戶只能升級到iOS 12.4。

對于那些為方便自己訪問某些功能而越獄的人來說，如果他們使用蘋果的在線服務(wù)，很可能會出現(xiàn)持續(xù)的問題。毫無疑問，這將會導(dǎo)致反復(fù)檢查連接到他們的設(shè)備。

在現(xiàn)實世界中，讓我們將這些拼圖塊拼合起來：用戶可以從蘋果應(yīng)用商店下載一個應(yīng)用程序，它利用此漏洞“逃脫”操作系統(tǒng)提供的iOS沙箱。

專門研究iOS系統(tǒng)的安全研究員和培訓(xùn)師喬納森·萊文（Jonathan Levin）指出：“由于iOS 12.4是目前可用的最新版本iOS系統(tǒng)，也是蘋果唯一允許升級的版本，在接下來的幾天(直到12.4.1發(fā)布)，運行此版本系統(tǒng)的所有設(shè)備(或12.3以下的任何版本)都是可破解的。這意味著，它們也容易受到實際上已經(jīng)暴露100天以上的漏洞攻擊。”

鑒于蘋果在100多天前就被谷歌的Project Zero團隊告知了這個漏洞，對蘋果用戶安全制度不友好的人很有可能會意識到這個問題，并有可能在后臺悄悄地使用它。同時，如果用戶使用的是iOS 12.3，請不要升級到iOS 12.4，以便在接下來的幾天內(nèi)受到保護。