信息化觀察網(wǎng)

據(jù)外媒報道，蘋果公司始終在為保證iOS平臺的安全而戰(zhàn)，但它最近犯了個不可原諒的錯誤，甚至導致整個平臺“門戶大開”。有消息透露，在向iOS 12.4遷移升級過程中，蘋果曾經(jīng)修補過的舊漏洞再次被破解，所以運行最新版本iOS的iPhone有可能運行未簽名的代碼。

這可能是希望訪問替代應用商店或訪問通常不公開功能的用戶的故意選擇(典型的越獄行為)，但它更有可能被惡意使用，例如使用另一個應用程序中的漏洞，該應用程序允許代碼在任何最新的iPhone上遠程運行。

這是蘋果的一個巨大錯誤，怎么強調都不為過。但有些限制需要注意：首先，該漏洞不會影響在A12芯片系統(tǒng)上運行的硬件，iPhone X將受到影響，但不會影響iPhone XR、iPhone XS或iPhone XS Max。不幸的是，蘋果從未公布過新款手機的銷售數(shù)據(jù)，因此有多少用戶受到影響尚不得而知。

此外，用戶還需要安裝IOS 12.4，這是蘋果將其用戶群轉移到最新版本移動操作系統(tǒng)的能力無法獲得幫助的時刻。不幸的是，蘋果將iOS 12.2和12.3從其服務器上撤下，并撤銷了它們的簽名，所以別無選擇，用戶只能升級到iOS 12.4。

對于那些為方便自己訪問某些功能而越獄的人來說，如果他們使用蘋果的在線服務，很可能會出現(xiàn)持續(xù)的問題。毫無疑問，這將會導致反復檢查連接到他們的設備。

在現(xiàn)實世界中，讓我們將這些拼圖塊拼合起來：用戶可以從蘋果應用商店下載一個應用程序，它利用此漏洞“逃脫”操作系統(tǒng)提供的iOS沙箱。

專門研究iOS系統(tǒng)的安全研究員和培訓師喬納森·萊文（Jonathan Levin）指出：“由于iOS 12.4是目前可用的最新版本iOS系統(tǒng)，也是蘋果唯一允許升級的版本，在接下來的幾天(直到12.4.1發(fā)布)，運行此版本系統(tǒng)的所有設備(或12.3以下的任何版本)都是可破解的。這意味著，它們也容易受到實際上已經(jīng)暴露100天以上的漏洞攻擊。”

鑒于蘋果在100多天前就被谷歌的Project Zero團隊告知了這個漏洞，對蘋果用戶安全制度不友好的人很有可能會意識到這個問題，并有可能在后臺悄悄地使用它。同時，如果用戶使用的是iOS 12.3，請不要升級到iOS 12.4，以便在接下來的幾天內受到保護。