Изтичането на Stale iOS изходен код може да доведе до нови проблеми

Изтичането на Stale iOS изходен код може да доведе до нови проблеми

Адвокатите на Apple в сряда изпратиха съобщение за нарушение на авторски права на Github след публикуването на изтеклия изходен код на iOS 9 на сайта. Въпреки че iOS 9 е датирана версия на мобилната операционна система на компанията, възможно е изтеклото код да бъде използвано за отваряне на по-стари устройства или по-лошо.

Публикуването на кода нарушава правата на Apple съгласно Закона за авторските права в цифровото хилядолетие, пишат адвокатите, настоявайки, че изходният код iBoot ще бъде премахнат.

„Старият изходен код от преди три години изглежда е изтекъл, но по дизайн сигурността на нашите продукти не зависи от тайната на нашия изходен код“, каза Apple в изявление, предоставено на TechNewsWorld от говорителя Фред Сайнц. „Има много слоеве на хардуерни и софтуерни защити, вградени в нашите продукти, и ние винаги насърчаваме клиентите да актуализират най-новите версии на софтуера, за да се възползват от защитата.“

Деветдесет и три процента от потребителите са изтеглили iOS 10 или по-късно, а 65 процента са изтеглили iOS 11, което включва най-новите защити, според компанията.

Изходният код може да бъде изтекъл по няколко начина, признати от Apple – доброволно, случайно или чрез злонамерени намерения.

Тя допринася с изходния код за общността с отворен код, посочи Apple.

Частично освобождаване

Докато само част от кода на iOS 9 бе пусната на GitHub, частта, която бе оповестена публично, е важна за цялостната структура за сигурност на операционната система, твърди Райън Спаниър, директор изследователски Kudelski сигурност ,

Въпреки че изходният код може да е бил изтекъл, използвайки злонамерен софтуер на машина за разработчици, по-вероятните сценарии варират от погрешно изтичане или преднамерено изтичане от служител или трета страна, които имат достъп до кода, каза той пред TechNewsWorld.

Защитата на такива големи хранилища с изходния код е трудна, когато има много достъп до служители, каза Спаниър.

„Никоя компания не е 100% сигурна, така че не е изненадващо, че това се случи дори в компания като Apple“, каза той пред TechNewsWorld.

„Въпреки това, това е голям удар за сигурността на iOS, тъй като iBoot е от решаващо значение за сигурния процес на зареждане по телефона“, продължава Spanier. „Кодът е за по-стара версия на iBoot, но все пак може да се използва, за да помогне на хората да затворят системата и да намерят нови начини да заобиколят контрола или да позволят на нападателя да развие експлойти срещу уязвимост“.

Достъпът до изходния код също улеснява изследователите да откриват бъгове, според Брайън Горенк, директор на изследването за уязвимост на Trend Micro , Това важи особено за този случай, тъй като изтичащият изходен код се казва, че съдържа документация.

„Ако документацията съдържа някои важни части – например файлови формати, интерфейси или дори размита методология на Apple – въздействието може да бъде още по-голямо“, каза той пред TechNewsWorld. „Нападателят може да погледне как ябълката е документирала своя размит процес и е търсила бъгове извън този процес, по-специално, за да издържат грешките, които открият.“

Тъй като кодът, който е изтекъл, се справя с товаренето на операционната система, бъговете могат да се използват за каквото и да е, за да се даде възможност на jailbreaks да зареждат нещо преди операционната система, отбеляза Гьоренц.

Ето защо миналата година Apple харчи 225 000 долара за iPhone, свързани с бъгове в Mobile Pwn2Own, каза той.

Обувка Уязвими

Пропускането дори на част от изходния код може да улесни търсенето на уязвимости в зареждащата машина, което може да доведе до нови начини за отваряне на устройството, заяви Лий-Ан Галъуей, Положителни технологии ,

Тя също така може да отвори достъп до данните на устройството, каза тя пред TechNewsWorld.

Седемдесет процента от устройствата с iOS са силно уязвими към такава експозиция, сочат последните проучвания.


Дейвид Джоунс е писател на свободна практика, базиран в окръг Есекс, Ню Джърси. Той е написал за Ройтерс, Блумбърг, Crain’s Ню Йорк Бизнес и Ню Йорк Таймс ,

http://www.technewsworld.com/story/Leak-of-Stale-iOS-Source-Code-Could-Trigger-Fresh-Problems-85126.html

2018-02-10 00:10:30