sbf123胜博发娱乐--有厚重深度的科技新媒体平台!

关于我们 合作联系:QQ:732968440

sbf123胜博发娱乐

谈苹果源代码iBoot泄露:普通员工是如何获取iPhone机密代码的?

时间:2018-02-11 21:06:26    作者:田小雪    来源:猎云网

本周三,一位名为“ZioShiba”的用户在开源代码托管平台GitHub上泄露了苹果公司专有的iBoot源代码。作为iPhone最为基本和最为核心的关键组成部分,iBoot是iOS系统可信任启动的安全保障,属于苹果公司高级机密。

据一位iPhone研究人员表示,此次源代码泄露事件是苹果公司有史以来出现的最为严重的一次机密泄露。虽然遭到泄露的是两年前iOS 9的源代码,与现在相隔甚远,但仍然可能被相关iOS安全研究人员和越狱爱好者加以利用,在iPhone锁定系统中发现其他新的漏洞。

尽管苹果公司在一项声明中表示,对于大多数用户来说,iBoot源代码的泄露不会带来较大安全风险,但作为一家标榜自己高度重视隐私安全、绝不姑息任何泄露行为的公司,出了这种事它还是挺尴尬的。那么,这一源代码泄露事件究竟是如何发生的呢?

据两位知情人士表示,事情最开始是发生在2016年。当时,他们都是某一越狱社区的成员,从一位在苹果公司总部工作的朋友那里拿到的源代码。外媒《Motherboard》已经针对这一事件收集了不少文字材料和图片截屏,并且还联系到了第三位知情人士,对当时的情况进行了了解。

不过,对于这些知情人士的身份,《Motherboard》同意暂时保密,因为苹果公司很有可能会针对这样一种获取和传播其独有软件的行为追究法律责任。至于事情的源头,也就是那位在苹果公司工作的员工则表示,目前不会针对这件事情给出任何回应。他通过朋友透露,自己与公司签署了保密协议,所以无法给出任何答复。

根据这些内部人士的表述,盗取源代码的人其实并没有什么恶意,对苹果公司也没有什么不轨企图。当时在公司工作时,是在几位朋友的“怂恿”之下泄露了这一本属内部机密的源代码。这些朋友都是越狱爱好者,只是想要拿到源代码进行相关的安全研究。

因此,那位员工便从公司拿来了iBoot源代码以及其他一些尚未泄露的代码,在一个五人小群体中进行了分享。

知情人表示:“当时他从公司拿来了很多机密,包括各种各样的内部开发工具等等。”《Motherboard》表示,除了在GitHub泄露的那些内容,它还看到过其他属于机密的源代码和文件名称截图。

据五人小群体其中的两人表示,他们从来没有想过,也没有刻意计划在小群体以外传播这些源代码。甚至群体中还有一个人原本是不想要这些代码的,只是偶然在朋友的电脑上看到了而已。可事情并没有如他们所愿,最终源代码还是遭到了大范围泄露,超出了五人小群体的控制范围。

甚至其中有一个人说:“我都很怀疑,这些源代码到底是不是从我们几个人这儿泄露出去的。就我个人而言,我从来没有想到有一天这些代码会被公布出去,毕竟我们也很害怕泄露这些机密给自己带来法律麻烦。我知道,苹果公司的内部社区里有很多胆子大、点子新的好奇宝宝。要是他们拿到了源代码,是很有可能在GitHub上公开发布的。”

在他们看来,如果这些源代码遭到了大范围泄露和传播,那说不定会被某些不怀好意的人滥用,通过一些恶性的越狱行为攻击iPhone用户,说得不好听这些代码可能成为他们攻击其他人手机的武器。虽然对某些高举信息自由大旗的人来说,这些私密信息的公开是件好事,可一旦这些信息损害了他人的隐私安全,那可就不再算是信息自由了。他们还补充说到:“我们已经尽了自己最大的努力,试图确保这些代码是在过时且没有利用价值之后才传播出去的。”

内部人士表示,在那位员工从公司拿来那些代码,并且在五人小群体中分享之后的一年,不知道是谁把代码泄露给了原本不应该看到这些代码的某个外人,这才导致了机密外泄。

而且,有意思的是,根据所有知情人的介绍,他们根本不知道到底是谁最开始对外泄露了这些资料。而且,也不知道代码泄露出去之后发生了什么。但他们可以肯定的是,在代码泄露出去之后,事情的发展就逐渐不受控制了,传播范围越来越广,看到源代码的人越来越多。据Motherboard的了解,去年,在该群体熟悉越狱和iPhone研究社区第四位和第五位成员参与进来之后,这一代码的流传范围就更广了。

接着,去年秋天,就连那些与最初五位成员八竿子打不着的人,都开始相互分享这些源代码的截图了。他们在一个名为的Discord的越狱爱好者社区中公开传播这些资料,用一种吹嘘的口吻嘲笑社区中的那些其他成员。

而最初小群体当中的一人听说了Discord这个社区之后,就赶紧把自己手中所有iBoot副本全部销毁了。一来自己确实不再需要这些代码了,二来万一这些机密公开了,自己也好撇清关系。说白了,就算这些资料真的人人皆知了,也不是从自己这里泄露出去的。

可当时,一切都已经太晚了。因为没过多久,就有一个名为apple_internals的Reddit账户公开发布了一个链接,内容就是iBoot源代码。然而,好在当时他的帖子在Reddit的内容审查过程中遭到了删除,所以注意到的人并不多。可就在本周三,同样的内容又再一次出现在了GitHub上。

内部人士指出,他们相信这一次在GitHub上的泄露事件,与当初的五人小群体是没有任何关系的,应该是其他拿到这些资料的人发出来的。而且,目前GitHub上的内容并不是完整的源代码,而且也不是原本,只是副本。

这一次的传播速度非常快,先是越狱爱好者社区,后是iOS安全研究社区,再是Twitter这类社交媒体,最后就连科技媒体也开始报道了。

至于当事人苹果是否对周三的泄露事件事先知情,以及目前是否正式开始调查,它都没有给出任何回应。

在一封邮件声明中,公司表示:“大家无需太过惊慌,因为我们公司在设计时并非仅仅依靠源代码来确保产品的安全性。在各款产品中,我们还采取了很多硬件层面和软件层面上的保护措施。”

就在周三,苹果一位员工透露,其实早在相关人员在GitHub上公布代码之前,公司就已经对泄露事件有所了解了。但至于公司具体什么时候发现源代码被偷,他并没有给出回答。最初拿到代码的人表示:“按理说,所有这些资料是不应该流露出去的。现在这种情况,真的非常糟糕。很显然,现在大肆传播代码的人实属恶意为之,但最开始拿到这些资料的人只是想私下研究,并没有任何不轨企图。”

【责任编辑:雅莉】
频道精选
金立债务牵连10家上市公司 维科精华面临退市风险

金立债务牵连10家上市公司 维科精华面临退市风险

随着金立债务危机的发酵,金立债务的债权人信息慢慢露出水面。三家公司公告维科精华受影响最重。
通信 金立 维科精华
非洲手机市场NO1 中国神机一年出售1.2亿台

非洲手机市场NO1 中国神机一年出售1.2亿台

和智能手机蓬勃发展景象相反的则是功能机,依然具有旺盛的生命力。传音2017年手机出货量超过1.2亿台。
人工智能 非洲手机 神机 传音
家电网购潜力凸显 2017年销售金额逼近5000亿

家电网购潜力凸显 2017年销售金额逼近5000亿

2017年我国B2C家电网购市场彰显网购潜力。80/90后占七成蕴含网购活力,农村市场发展猛涨。
家电 网购 空调 厨卫
又一家共享单车倒闭 1号单车即日起停止运营

又一家共享单车倒闭 1号单车即日起停止运营

1号单车在其官方公众号中称公司经营方向变化,即日起1号单车停运,距离其停运仅仅半年时间。
快讯 共享单车 倒闭 1号单车
王健林合纵连横 左拥阿里右抱腾讯 万达电影会好过吗?

王健林合纵连横 左拥阿里右抱腾讯 万达电影会好过吗?

万达电影公告称,阿里巴巴集团(下称“阿里”)及文投控股股份有限公司(下称“文投控股”),各自出资46.8亿元和31.2亿元,分别收购万达电影7.66%和5.11%的股份。
王健林 万达 腾讯 阿里
中国准备出台ICO新规 规范瞄准境外虚拟货币交易平台

中国准备出台ICO新规 规范瞄准境外虚拟货币交易平台

中国采取了一系列措施,打击“加密货币”市场,包括关闭交易所和禁止所谓的“首次代币发行“——基于数字化、标记的融资方式。
ICO 区块链 头条 虚拟货币
苹果、小米重回巅峰,国产手机厂商从虚火走向理性

苹果、小米重回巅峰,国产手机厂商从虚火走向理性

接下来的2018年,中国手机市场将进入更残酷的阶段,当4G普及完成,5G开始试水,三线以下市场用户消费习惯形成,接下来的,就是玩不成花活的技术和实力的比拼,中国
原创 苹果 小米 手机
百度莱茨狗怎么玩?为什么百度金融要推出宠物莱茨狗游戏?

百度莱茨狗怎么玩?为什么百度金融要推出宠物莱茨狗游戏?

基于以太坊的养猫游戏CryptoKitties推出一天后便如病毒版扩散,火热得造成了以太坊网络长时间、大范围的拥堵,当然随之收获了一大批用户。
百度金融 宠物 莱茨狗 游戏
央视:滴滴快车司机为赚奖励拒载 诱导乘客取消订单

央视:滴滴快车司机为赚奖励拒载 诱导乘客取消订单

现在通过网约车出行,变得越来越普遍,但其中却隐藏着一些暗操作,给出行又“添了点堵”。记者近日在北京调查发现,滴滴快车就存在着“甩单、拒单”以及“诱导乘
央视 滴滴 快车 网约车 出行
微信朋友圈出现首个区块链 百度和微博禁止比特币

微信朋友圈出现首个区块链 百度和微博禁止比特币

今日,微信朋友圈出现首个区块链,该为区块链电商“媒购”投放。百度和微博搜索禁止比特币
快讯 微信 朋友圈 区块链

2017-2018 Copyright © 古都科技网 京ICP备11032553号-1 京公网安备110102003388号

技术支持:沿亮科技 www.yanliangcloud.com