蘋果iOS系統(tǒng)升級(jí)曝漏洞 危及數(shù)百萬(wàn)平板/手機(jī)用戶數(shù)據(jù)安全

據(jù)外媒報(bào)道，蘋果公司始終在為保證iOS平臺(tái)的安全而戰(zhàn)，但它最近犯了個(gè)不可原諒的錯(cuò)誤，甚至導(dǎo)致整個(gè)平臺(tái)“門戶大開”。有消息透露，在向iOS 12.4遷移升級(jí)過(guò)程中，蘋果曾經(jīng)修補(bǔ)過(guò)的舊漏洞再次被破解，所以運(yùn)行最新版本iOS的iPhone有可能運(yùn)行未簽名的代碼。

該漏洞不會(huì)影響在A12芯片系統(tǒng)上運(yùn)行的硬件，iPhone X將受到影響，但不會(huì)影響iPhone XR、iPhone XS或iPhone XS Max。

這可能是希望訪問(wèn)替代應(yīng)用商店或訪問(wèn)通常不公開功能的用戶的故意選擇(典型的越獄行為)，但它更有可能被惡意使用，例如使用另一個(gè)應(yīng)用程序中的漏洞，該應(yīng)用程序允許代碼在任何最新的iPhone上遠(yuǎn)程運(yùn)行。

這是蘋果的一個(gè)巨大錯(cuò)誤，怎么強(qiáng)調(diào)都不為過(guò)。但有些限制需要注意：首先，該漏洞不會(huì)影響在A12芯片系統(tǒng)上運(yùn)行的硬件，iPhone X將受到影響，但不會(huì)影響iPhone XR、iPhone XS或iPhone XS Max。不幸的是，蘋果從未公布過(guò)新款手機(jī)的銷售數(shù)據(jù)，因此有多少用戶受到影響尚不得而知。

此外，用戶還需要安裝IOS 12.4，這是蘋果將其用戶群轉(zhuǎn)移到最新版本移動(dòng)操作系統(tǒng)的能力無(wú)法獲得幫助的時(shí)刻。不幸的是，蘋果將iOS 12.2和12.3從其服務(wù)器上撤下，并撤銷了它們的簽名，所以別無(wú)選擇，用戶只能升級(jí)到iOS 12.4。

對(duì)于那些為方便自己訪問(wèn)某些功能而越獄的人來(lái)說(shuō)，如果他們使用蘋果的在線服務(wù)，很可能會(huì)出現(xiàn)持續(xù)的問(wèn)題。毫無(wú)疑問(wèn)，這將會(huì)導(dǎo)致反復(fù)檢查連接到他們的設(shè)備。

在現(xiàn)實(shí)世界中，讓我們將這些拼圖塊拼合起來(lái)：用戶可以從蘋果應(yīng)用商店下載一個(gè)應(yīng)用程序，它利用此漏洞“逃脫”操作系統(tǒng)提供的iOS沙箱。

專門研究iOS系統(tǒng)的安全研究員和培訓(xùn)師喬納森·萊文（Jonathan Levin）指出：“由于iOS 12.4是目前可用的最新版本iOS系統(tǒng)，也是蘋果唯一允許升級(jí)的版本，在接下來(lái)的幾天(直到12.4.1發(fā)布)，運(yùn)行此版本系統(tǒng)的所有設(shè)備(或12.3以下的任何版本)都是可破解的。這意味著，它們也容易受到實(shí)際上已經(jīng)暴露100天以上的漏洞攻擊。”

鑒于蘋果在100多天前就被谷歌的Project Zero團(tuán)隊(duì)告知了這個(gè)漏洞，對(duì)蘋果用戶安全制度不友好的人很有可能會(huì)意識(shí)到這個(gè)問(wèn)題，并有可能在后臺(tái)悄悄地使用它。同時(shí)，如果用戶使用的是iOS 12.3，請(qǐng)不要升級(jí)到iOS 12.4，以便在接下來(lái)的幾天內(nèi)受到保護(hù)。