写点什么

刷屏的 iPhone 史诗级漏洞,真相是你不用太担心

  • 2019-09-30
  • 本文字数:736 字

    阅读完需:约 2 分钟

刷屏的iPhone史诗级漏洞,真相是你不用太担心

9 月 27 日,iOS 研究人员 @axi0mX 在 Twitter 上“抛出”一条惊天消息。他发布了一个最新的 iOS 漏洞——Checkm8。消息一出,引起众多媒体关注和报道。



Checkm8 漏洞,影响大量 iPhone 和 iPad 硬件设备,可能导致数亿个 iOS 设备能实现永久越狱,涉及从 iPhone 4S 到 iPhone 8、iPhone X 等所有 iPhone,以及其他同款 A 系列处理器的 iPad、iPad touch 等 iOS 设备。


更重要的是,该漏洞在硬件之上,无法通过软件来修复。


据悉,该漏洞利用的是一个永久的 bootrom 漏洞。何为 bootrom?它是含有系统启动时的最初代码的只读芯片。


因为 bootrom 代码是设备启动过程的核心部分,而且无法修改。因此,如果其中存在漏洞,就可以利用该漏洞劫持设备。



目前,受 Checkm8 开源漏洞利用工具影响的设备有:


  • iPhones 4s 到 iPhone X

  • iPads 2 到第 7 代

  • iPad Mini 2 和 3

  • iPad Air 第 1 和第 2 代

  • iPad Pro 第二代(10.5 英寸和 12.9 英寸)

  • Apple Watch Series 1, Series 2,Series 3

  • Apple TV 第 3 代和 4k

  • iPod Touch 5 到 7 代


因为是硬件漏洞,所以 iOS/iPadOS/watchOS/tvOS 等操作系统无关,因此苹果应该不会通过软件更新来修复漏洞。苹果 A12 及之后的芯片设备不受漏洞影响,包括 iPhone Xs、iPhone XR、iPhone 11 系列和第三代 iPad Pros 设备。


最新的媒体报道表明,漏洞虽然很严重,但是对普通用户没有什么实际影响。


Checkm8 攻击不是 drive-by 攻击。用户无法访问网站,且不会成为恶意软件攻击的目标。


很关键的一点是,该漏洞不是持久存在的,这意味着每次重新启动 iPhone 时,攻击媒介即启动 ROM 都会再次关闭。


此外,攻击者要利用该漏洞也有前提,需要将 iPhone 或 iPad 连接到主机,并进入 DFU 模式才可以攻击设备。Checkm8 漏洞并不是一直可以利用的,需要依赖“竞态条件”(race condition)。


2019-09-30 17:272686
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 369.1 次阅读, 收获喜欢 1803 次。

关注

评论

发布
暂无评论
发现更多内容

和鲸Heywhale人工智能通识课解决方案重磅上线!

ModelWhale

Python 人工智能 大数据 教改

央视《新闻联播》点赞广域铭岛:为新型工业化提供强劲动能

新消费日报

区块链软件系统海外宣发:全球化市场中的策略与实施

区块链软件开发推广运营

交易所开发 dapp开发 链游开发 公链开发 交易所开发代币开发

非凸科技荣登“2024上海软件和信息技术服务业高成长百家”榜单

非凸科技

非凸科技 高成长百家

国产化战略下,软件信创化都有哪些利好?

FinFish

小程序容器 信创化软件 国产化软件 信创化中间件

快速提升可视化设计工作效率

inBuilder低代码平台

UX 可视化设计

基于云主机的ModelArts模型训练实践,让开发环境化繁为简

华为云开发者联盟

容器 模型训练 华为云ModelArts AI 大底座 #docker

星芒云“1+6+N”数字生态方案

明道云

数百名研发人员用通义灵码,33%新增代码由AI生成,信也科技研发模式焕新升级

阿里云云效

阿里云 云原生 通义灵码

See Video, Get 3D,智源开源无标注视频学习3D生成模型See3D

智源研究院

全面解析SD-WAN组网:提升企业网络效率

Ogcloud

SD-WAN 企业组网 SD-WAN组网 SD-WAN服务商 SD-WAN国际专线

Altair 技术助力 Cleveland Golf 打破传统设计局限,实现新款 HiBore XL 球杆强大的功能

Altair RapidMiner

AI 设计 仿真 智能制造 altair

区块链软件系统开发:从设计到实现的全面指南

区块链软件开发推广运营

交易所开发 dapp开发 链游开发 公链开发

数百名研发人员用通义灵码,33%新增代码由AI生成,信也科技研发模式焕新升级

阿里巴巴云原生

阿里云 云原生 通义灵码

制造业数字化转型,需要用到哪些系统,一文分析详解!

积木链小链

制造业 ERP

C#委托的前世今生

不在线第一只蜗牛

C#

SD-WAN 助力SaaS应用加速,提升企业办公效率

Ogcloud

SD-WAN SD-WAN组网 SD-WAN服务商 SaaS应用加速 SD-WAN国际专线

虚拟化世界,正上演一场「星际穿越」

白洞计划

AI

刷屏的iPhone史诗级漏洞,真相是你不用太担心_安全_万佳_InfoQ精选文章