一位使化名为“ axi0mX”的安全研究人员发现了一个可能无法修补的iOS漏洞,该漏洞一直存在于Apple Inc.设备中。
该匿名研究人员发布了演示该bug的代码,仅几小时后,网络安全社区的成员就验证了它的真实性。该漏洞是在2012年至2017年发布的iOS设备中发现的。这意味着,尽管苹果最新的手机似乎是安全的,但全世界仍有数千万消费者的iPhone和iPad容易受到攻击。
该漏洞利用了iOS组件bootrom中的弱点。 它是用户打开手机后激活的第一个软件,它负责加载其余操作系统,并检查潜在的安全问题。
使该问题难以解决的原因是:bootrom在不可修改的存储芯片上运行。 Apple因为无法更改易受攻击的代码,所以无法像常规安全性漏洞那样简单地发布补丁。 iPhone制造商理论上可以召回受影响的型号并更新其主板,否则有关用户最好的选择是购买新设备。
利用该漏洞 “越狱” iOS手机,以获得对操作系统的完全控制。对设备的访问将使黑客能够读取加密文件,访问应用程序并植入恶意软件以备将来攻击。
唯一的希望是, Apple技术人员对主板进行物理修改,但是要修复该主板,则需要直接访问设备。 如果修复成功就意味着iOS用户不必担心黑客会通过网络或受感染的应用程序远程入侵手机。
即便如此,修复该漏洞还是一个主要的安全问题:上一个iOS bootrom漏洞是在2009年发现的。
原文链接:https://siliconangle.com/2019/09/27/anonymous-researcher-publishes-unpatchable-ios-exploit/
