Wczoraj pisaliśmy o publikacji ważnej części kodu systemu iOS (iBoot) odpowiedzialnej za uruchamianie systemu i kontrolę jego autentyczności i spójności w serwisie GitHub. Dziś poznaliśmy stanowisko Apple.
Tak jak przewidywaliśmy, zagrożenie nie jest wielkie
Apple wyjaśnia: „[…] stary kod źródłowy sprzed trzech lat wyciekł, ale z założenia bezpieczeństwo naszych produktów nie zależy od tajności naszego kodu źródłowego. Istnieje wiele warstw sprzętu i oprogramowania, które zabezpieczają nasze produkty i zawsze zachęcamy klientów do aktualizacji do najnowszych wersji systemu, aby korzystać z najnowszych zabezpieczeń, aktualnych”.
W znacznej części pokrywa się to moimi przemyśleniami, które opublikowałem we wczorajszym artykule o wycieku kodu.
Apple dodatkowo wydało nakaz DMCA zobowiązujący do usunięcia kodu źródłowego z GitHub, choć nie zapobiegnie to jego pokątnemu rozpowszechnianiu.
iOS 9 jest zainstalowany obecnie na nie więcej niż 4-7% aktywnych urządzeń, ale również ich posiadacze nie powinni rwać włosów z głowy. Nawet jeżeli analiza kodu pozwoli na opracowanie nowych metod odbezpieczenia iPhone (np. Jailbreak), to najprawdopodobniej nie da się ich wykorzystać zdalnie. iBoot jest używany przy uruchamianiu urządzenia i luki w nim są w zasadzie groźne, jeżeli mamy dostęp to sprzętu, co dość mocno zawęża możliwość ich wykorzystania bez wiedzy użytkownika.
Co z nowszymi?
Jak napisałem wczoraj, w iOS 11 zmian w iBoot jest bardzo wiele (wyjaśniłem to w poprzednim artykule), a kod iOS 9 iBook już kilka miesięcy wcześniej pojawił się na chwilę w sieci, więc Apple miało czas na reakcję i go wykorzystało. Dlaczego tak uważam, możecie dowiedzieć się z: Fragment kodu źródłowego iOS 9 „iBoot” opublikowany na GitHub’ie.
Takie wpadki zdarzają i będą się zdarzać zawsze. Nie uniknął ich Microsoft ani inne wielkie firmy.
Źródło: cnet
Nie wielkie bo duże.