在最近的一次iOS 12.4系统更新中,苹果公司无意中恢复了在先前版本中修复过的一个漏洞,从而使得当前iOS 12.4版本系统遭到了黑客的破解,继而为众多iPhone用户带来了多年以来唯一一次最新系统的公开越狱机会,而这也将为苹果公司带来一系列的安全风险。
上周末,苹果公司安全研究人员Jonathan Levin发现最新的iOS 12.4操作系统恢复了该公司在iOS 12.3中修复过的一个严重漏洞,这意味着目前运行着iOS 12.4的所有设备都是可以越狱的,同时这些设备也会更容易遭受恶意攻击。
Levin还表示,该漏洞可能还会影响到目前正运行iOS 11.x或iOS 12.x版本的设备,因为这些设备目前都可以通过官方更新升级到最新的iOS 12.4版本。苹果在7月底就发布了iOS 12.4,但直到最近,越狱手段才刚刚出现。周一,安全研究员Pwn20wnd发布了适用于当前所有iPhone设备的iOS 12.4公共越狱软件。
这意味着iOS 12.4的越狱情况的出现其实已经有一段时间了。通常情况下,黑客和安全研究人员会避免对具体漏洞的详细描述,因为苹果公司会迅速对该漏洞进行修补。谷歌精英黑客团队Project Zero的Ned Williamson说:“一开始肯定是有一位用户在iOS 12.4上测试了越狱操作,然后才意外发现这个漏洞的存在。”
部分用户会特意地利用这个漏洞将他们的设备进行越狱,但即使对未越狱设备来说这个漏洞的存在也会降低设备的安全性。一位匿名的iPhone安全研究员称,目前具有iOS领域专业知识的黑客,可以使用Safari漏洞破解任何最新的iPhone设备。
当然,即使有了漏洞,想要破解iPhone也并不是这么容易,但新闻媒体也表示,目前破解的难度要比以往低得多。Ned Williamson表示,在此次事件中,也许有黑客会利用该漏洞制作出无法破解的间谍软件。
例如,恶意代码可以利用该漏洞逃脱iOS沙箱保护系统来窃取用户数据,网页以及浏览器的漏洞也可能会遭到利用。而iOS越狱专家Pwn20wnd表示,很可能已经有人对该漏洞进行了恶意利用。
如何自保
玄蜂安全团队安全专家建议,在苹果修复漏洞并发布下一更新版本之前,请各位用户谨慎下载运行非来源于苹果的第三方应用。同时iPhone安全专家警告说,任何非经验证的第三方应用程序都可能会利用iOS 12.4越狱漏洞进行恶意攻击。因此,请用户确保下载的第三方应用程序是绝对安全的应用程序。