В Сети в открытом доступе появился исходный код загрузчика iOS

8 февраля

На GitHub появился исходный код ключевого компонента iOS, благодаря которому хакеры и исследователи безопасности смогут найти уязвимости в операционной системе и разработать джейлбрейк. Кроме того, опытные программисты смогут с его помощью эмулировать ОС от Apple на платформах от других производителей.

Речь идет об исходном коде iBoot — загрузчика iOS, обеспечивающего доверенную загрузку операционной системы. При включении iOS-устройства iBoot загружает ядро ОС, проверяет наличие у него соответствующей подписи Apple, а затем выполняет его.

Утекший код относится к iOS 9 и более ранним версиям, однако часть его по-прежнему может использоваться в iOS 11. За последние годы Apple открыла некоторые части исходников iOS и macOS, однако исходный код iBoot компания держит закрытым и принимает меры по его защите. За уязвимости, обнаруженные в процессе загрузки, Apple выплачивает самое высокое вознаграждение в рамках своей программы bug bounty (максимальная стоимость уязвимости составляет $200 тыс.).

По словам автора серии книг о iOS и macOS Джонатана Левина (Jonathan Levin), публикация исходного кода iBoot является «крупнейшей утечкой в истории». Левин подтвердил, что появившийся на GitHub код действительно является исходником iBoot, поскольку он совпадает с кодом, который он сам ранее исследовал с помощью реверс-инжиниринга. Как сообщает издание Motherboard, подлинность кода также подтверждает еще один эксперт, специализирующийся на iOS.

Доверенная загрузка — загрузка ОС только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и аппаратной идентификации/аутентификации пользователя.


Другие новости

16 ноября

Федеральная налоговая служба сообщила, когда предприниматели на ЕНВД смогут использовать новую форму налоговой декларации для оформления вычета за покупку кассовой техники.

23 октября

Нарушители будут привлекаться к дисциплинарной ответственности, а контрактники — досрочно уволены.

23 октября

Лига безопасного интернета предложила ввести ответственность для соцсетей и поисковиков за запрещенный контент.

23 октября

В некоторых случаях затраты на мобильный интернет достигают $385.