近日,有外媒报道称,在向iOS 12.4迁移升级过程中,苹果曾经修补过的旧漏洞再次被破解。
这可能是希望访问替代应用商店或访问通常不公开功能的用户的故意选择(典型的越狱行为),但它更有可能被恶意使用,例如使用另一个应用程序中的漏洞,该应用程序允许代码在任何最新的iPhone上远程运行。
这是苹果的一个巨大错误,怎么强调都不为过。但有些限制需要注意:首先,该漏洞不会影响在A12芯片系统上运行的硬件,iPhone X将受到影响,但不会影响iPhone XR、iPhone XS或iPhone XS Max。不幸的是,苹果从未公布过新款手机的销售数据,因此有多少用户受到影响尚不得而知。
此外,用户还需要安装IOS 12.4,这是苹果将其用户群转移到最新版本移动操作系统的能力无法获得帮助的时刻。不幸的是,苹果将iOS 12.2和12.3从其服务器上撤下,并撤销了它们的签名,所以别无选择,用户只能升级到iOS 12.4。
对于那些为方便自己访问某些功能而越狱的人来说,如果他们使用苹果的在线服务,很可能会出现持续的问题。毫无疑问,这将会导致反复检查连接到他们的设备。
在现实世界中,让我们将这些拼图块拼合起来:用户可以从苹果应用商店下载一个应用程序,它利用此漏洞“逃脱”操作系统提供的iOS沙箱。
专门研究iOS系统的安全研究员和培训师乔纳森·莱文(Jonathan Levin)指出:“由于iOS 12.4是目前可用的最新版本iOS系统,也是苹果唯一允许升级的版本,在接下来的几天(直到12.4.1发布),运行此版本系统的所有设备(或12.3以下的任何版本)都是可破解的。这意味着,它们也容易受到实际上已经暴露100天以上的漏洞攻击。”
鉴于苹果在100多天前就被谷歌的Project Zero团队告知了这个漏洞,对苹果用户安全制度不友好的人很有可能会意识到这个问题,并有可能在后台悄悄地使用它。同时,如果用户使用的是iOS 12.3,请不要升级到iOS 12.4,以便在接下来的几天内受到保护。