知識星球來自:開源中國社群
連結:https://www.oschina.net/news/93283/how-iphone-iboot-source-code-leaked-on-github
之前蘋果公司確認自家的 iOS 9 部分原始碼被洩露到 GitHub 上,大家驚呼怎麼可能發生這種可怕的事情,外媒 Motherboard 再次深入調查瞭解背後的故事,最終他們找到了上傳原始碼的匿名人士,並且得知原來程式碼早在 2016 年就被洩漏到越獄社群,來源於蘋果公司的一個低階別員工。
調查後發現,原來原始碼早在 2016 年就被一位低階別的蘋果員工所獲取,他當時還是蘋果的實習生,作案動機也並不是發洩對蘋果公司的不滿,只是希望與越獄社群的研究人士分享這些程式碼。不過這名員工肯定是違反了操作守則,畢竟這些涉及到蘋果公司的商業機密,員工已經和蘋果公司簽訂保密協議。
Motherboard 報道稱這位實習生有幾位越獄社群的朋友,當他在蘋果總部實習的時候,朋友鼓動他洩漏內部程式碼,想要將原始碼用於他們的安全研究。他最後向他們洩漏了蘋果幾乎所有的“內部資料和其他東西”,包括沒有公開在 GitHub 上的程式碼。這些原始碼原本只在圈子內部流傳,但傳播範圍很快失去了控制,有人將程式碼給了一名不應該給的人,最終導致了 iBoot 的洩漏。
據瞭解,洩露的原始碼涉及 iOS 系統啟動過程,類似於我們 PC 電腦上的 BIOS 自檢啟動過程,蘋果曾經在《 iOS 安全保護白皮書》中提及,Boot ROM 程式碼存放於只讀記憶體中,這個程式碼在出廠的時候就被固定在晶片上,上麵包含了蘋果用於安全驗證的 CA 公鑰,用於驗證底層引導載入程式是否為蘋果簽名,一旦確認就會給予高階別信任許可權,隨之啟動 iBoot 以及 iOS 核心。所以說 iBoot 已經涉及到 iOS 系統的底層安全性問題。如果被別有用心的人加以利用,尋找原始碼的漏洞製作惡意軟體的話,影響會相當惡劣,這次事故被部分安全專家認定為蘋果公司“有史以來最嚴重的洩露”。
蘋果公司在獲知這個事情後,第一時間聯絡了 GitHub 管理人員要求刪除原始碼,畢竟按照《千禧年數字版權保護法》,這些程式碼是歸屬蘋果所有,受到法律保護。同時蘋果再三強調,這是三年前 iOS 9 的部分原始碼,對於現在 iOS 11 影響較小,而且 iOS 的安全性並不依賴於這些原始碼保密性,升級至最新系統有利於防護各種惡意軟體。
而這位洩露原始碼的前實習生以保密協議為由拒絕對此事件發表評論。
參考:http://www.expreview.com/59471.html、https://www.solidot.org/story?sid=55528
●本文編號237,以後想閱讀這篇文章直接輸入237即可
●輸入m獲取文章目錄
駭客技術與網路安全
更多推薦《18個技術類微信公眾號》
涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。
