写点什么

刷屏的 iPhone 史诗级漏洞,真相是你不用太担心

2019 年 9 月 30 日

刷屏的iPhone史诗级漏洞,真相是你不用太担心

9 月 27 日,iOS 研究人员 @axi0mX 在 Twitter 上“抛出”一条惊天消息。他发布了一个最新的 iOS 漏洞——Checkm8。消息一出,引起众多媒体关注和报道。



Checkm8 漏洞,影响大量 iPhone 和 iPad 硬件设备,可能导致数亿个 iOS 设备能实现永久越狱,涉及从 iPhone 4S 到 iPhone 8、iPhone X 等所有 iPhone,以及其他同款 A 系列处理器的 iPad、iPad touch 等 iOS 设备。


更重要的是,该漏洞在硬件之上,无法通过软件来修复。


据悉,该漏洞利用的是一个永久的 bootrom 漏洞。何为 bootrom?它是含有系统启动时的最初代码的只读芯片。


因为 bootrom 代码是设备启动过程的核心部分,而且无法修改。因此,如果其中存在漏洞,就可以利用该漏洞劫持设备。



目前,受 Checkm8 开源漏洞利用工具影响的设备有:


  • iPhones 4s 到 iPhone X

  • iPads 2 到第 7 代

  • iPad Mini 2 和 3

  • iPad Air 第 1 和第 2 代

  • iPad Pro 第二代(10.5 英寸和 12.9 英寸)

  • Apple Watch Series 1, Series 2,Series 3

  • Apple TV 第 3 代和 4k

  • iPod Touch 5 到 7 代


因为是硬件漏洞,所以 iOS/iPadOS/watchOS/tvOS 等操作系统无关,因此苹果应该不会通过软件更新来修复漏洞。苹果 A12 及之后的芯片设备不受漏洞影响,包括 iPhone Xs、iPhone XR、iPhone 11 系列和第三代 iPad Pros 设备。


最新的媒体报道表明,漏洞虽然很严重,但是对普通用户没有什么实际影响。


Checkm8 攻击不是 drive-by 攻击。用户无法访问网站,且不会成为恶意软件攻击的目标。


很关键的一点是,该漏洞不是持久存在的,这意味着每次重新启动 iPhone 时,攻击媒介即启动 ROM 都会再次关闭。


此外,攻击者要利用该漏洞也有前提,需要将 iPhone 或 iPad 连接到主机,并进入 DFU 模式才可以攻击设备。Checkm8 漏洞并不是一直可以利用的,需要依赖“竞态条件”(race condition)。


2019 年 9 月 30 日 17:271852
用户头像
万佳 InfoQ编辑

发布了 534 篇内容, 共 195.2 次阅读, 收获喜欢 1307 次。

关注

评论

发布
暂无评论
发现更多内容

中台迷局丨只做IT的中台是个神棍

人称T客

数据结构与算法之基础入门

shirley

数据结构 算法

架构师训练营-第一周作业

zcj

极客大学架构师训练营

区块链如何打通征信行业的“任督二脉”?

CECBC区块链专委会

CECBC 区块链技术 征信 数据共享

食堂就餐卡系统设计

Arvin

架构设计

第一周学习总结:

武鹏

架构师训练营第一周总结

hifly

软件架构 架构师 极客大学架构师训练营 #总结#

架构师训练营-第一周学习总结

zcj

极客大学架构师训练营

作为一个架构师,我是不是应该有很多职责?

架构师修行之路

程序员 架构 架构师

系统梳理主流定时器算法实现的差异以及应用

奈学教育

定时器

架构方法论学习总结

架构师训练营-架构方法:架构师如何做架构

Pontus

极客大学架构师训练营

食堂就餐卡系统架构设计

武鹏

架构师训练营 - 食堂就餐卡系统设计

Pontus

极客大学架构师训练营

ARTS Week 1

黑色柳丁

ARTS 打卡计划

二叉树视频|留美六年毅然归国,85 后技术 VP 金超:我想把工业智能做好

二叉树视频

写作平台 二叉树 年少有为

产品经理越来越不值钱了吗?

Neco.W

产品 产品经理

系统梳理主流定时器算法实现的差异以及应用

古月木易

定时器

食堂打卡系统架构设计文档

Frank Zeng

架构师训练营第1周——学习总结

在野

极客大学架构师训练营

c# 之linq——小白入门级

moonlucy

架构师训练营-开营

zcj

极客大学架构师训练营

架构师训练营-第一周-学习总结

Anrika

极客大学架构师训练营 架构总结

SaaS:小企业向左、大企业向右

人称T客

极客架构师训练营第一周

大丁💸💵💴💶🚀🐟

微服务架构中分布式事务实现方案怎样何取舍

奈学教育

TOGAF认证自学宝典

涛哥

架构 企业架构

架构师训练营第一周课堂学习总结

Frank Zeng

原创 | TDD工具集:JUnit、AssertJ和Mockito (二十)编写测试-参数化测试

编程道与术

Java 学习 编程 TDD 单元测试

微服务架构中分布式事务实现方案怎样何取舍【转发】

古月木易

微服务架构

【架构师训练营】第一个周课程总结

Mr.hou

极客大学架构师训练营

刷屏的iPhone史诗级漏洞,真相是你不用太担心-InfoQ