【猎云网(微信号:ilieyun)】报道 (编译:Henry)
在最近的一次 iOS 12.4 系统更新中,苹果公司无意中恢复了在先前版本中修复过的一个漏洞,从而使得当前 iOS 12.4 版本系统遭到了黑客的破解,继而为众多 iPhone 用户带来了多年以来唯一一次最新系统的公开越狱机会,而这也将为苹果公司带来一系列的安全风险。
上周末,苹果公司安全研究人员 Jonathan Levin 发现最新的 iOS 12.4 操作系统恢复了该公司在 iOS 12.3 中修复过的一个严重漏洞,这意味着目前运行着 iOS 12.4 的所有设备都是可以越狱的,同时这些设备也会更容易遭受恶意攻击。
Levin 还表示,该漏洞可能还会影响到目前正运行 iOS 11.x 或 iOS 12.x 版本的设备,因为这些设备目前都可以通过官方更新升级到最新的 iOS 12.4 版本。苹果在 7 月底就发布了 iOS 12.4,但直到最近,越狱手段才刚刚出现。周一,安全研究员 Pwn20wnd 发布了适用于当前所有 iPhone 设备的 iOS 12.4 公共越狱软件。
这意味着 iOS 12.4 的越狱情况的出现其实已经有一段时间了。通常情况下,黑客和安全研究人员会避免对具体漏洞的详细描述,因为苹果公司会迅速对该漏洞进行修补。谷歌精英黑客团队 Project Zero 的 Ned Williamson 说: 一开始肯定是有一位用户在 iOS 12.4 上测试了越狱操作,然后才意外发现这个漏洞的存在。
部分用户会特意地利用这个漏洞将他们的设备进行越狱,但即使对未越狱设备来说这个漏洞的存在也会降低设备的安全性。一位匿名的 iPhone 安全研究员称,目前具有 iOS 领域专业知识的黑客,可以使用 Safari 漏洞破解任何最新的 iPhone 设备。
当然,即使有了漏洞,想要破解 iPhone 也并不是这么容易,但新闻媒体也表示,目前破解的难度要比以往低得多。Ned Williamson 表示,在此次事件中,也许有黑客会利用该漏洞制作出无法破解的间谍软件。
例如,恶意代码可以利用该漏洞逃脱 iOS 沙箱保护系统来窃取用户数据,网页以及浏览器的漏洞也可能会遭到利用。而 iOS 越狱专家 Pwn20wnd 表示,很可能已经有人对该漏洞进行了恶意利用。
如何自保
专家建议,在苹果修复漏洞并发布下一更新版本之前,请各位用户谨慎下载运行非来源于苹果的第三方应用。
同时 iPhone 安全专家警告说,任何非经验证的第三方应用程序都可能会利用 iOS 12.4 越狱漏洞进行恶意攻击。因此,请用户确保下载的第三方应用程序是绝对安全的应用程序。
