Central iPhone-kildekode lagt op på nettet: »Største læk i historien«

Kildekoden for iBoot, et af de mest kritiske programmer i iOS, er blevet lagt op på Github.

Nogen har postet, hvad der umiskendeligt ligner koden til nogle helt centrale iOS-systemer.

Og det kan meget vel være et af de største offentlige læk af kode nogensinde. Det skriver Motherboard.

Læs også: 10-årig låser sin mors iPhone X op - viser svaghed i ansigtsgenkendelsessoftwaren

Det kan bane vejen for hackere, både med hvid og sort hovedbeklædning, og åbne døre ind i et af de mest lukkede og kontrollerede styresystemer i verden.

»Dette er det største læk i historien,« siger Jonathan Levin, som er forfatteren til en serie af bøger om Apples produkter, til Motherboard.

»Det er virkelig stort.«

Jonathan Levin siger desuden, at koden minder meget om iOS-kode, han selv har tilvejebragt gennem reverse engineering, hvorfor han mener, at koden er ægte.

Koden, der er blevet lagt på GitHub, er siden blevet fjernet efter en takedown-forespørgsel fra Apple, fremgår det af en opdatering til Motherboards artikel.

Læs også: Apple lover valgfrihed om langsommere iPhones

Selve lækket på Github bar overskriften iBoot, som er navnet på den software, der sørger for en sikkerhedsmæssig troværdig boot af en iPhone. Softwaren er det første program, der startes op, når en iPhone tændes.

Når det sker, loader og verificerer den, at kernen er signeret af Apple og dermed er opdateret og så sikker som muligt, hvorefter den eksekverer selve styresystemet på telefonen, som startes op.

En ældre version

Ifølge lækket på Github er der tale om kode til iOS 9, en ældre version af det styresystem, der bruges på nye iPhones. Men ifølge Motherboard er det meget sandsynligt, at store dele af koden stadig bruges i de nyere versioner af softwaren.

Læs også: Apples Spectre-patch til Safari kan reducere Javascript-performance med flere procent

Apple, som står bag iOS, har altid været meget påpasselig med at offentliggøre kode. De seneste år har Apple blødt lidt op og har gjort dele af deres styresystemer open source, men lige præcis iBoot har selskabet holdt helt tæt indtil kroppen. Og bugs i netop denne del af iOS er dem, man får allermest for at rapportere til Apple.

Læs også: Apple indrømmer at sænke hastigheden på iPhones med ældre batterier

Tidligere sårbarheder i iBoot har tilladt folk at jailbreake diverse iPhones ved at overbelaste låseskærmen og gjort det muligt at dekryptere iPhone-brugeres data. Siden da har Apple styrket sikkerheden i iBoot, men den kan nu være sat over styr.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
Sune Marcher

»Dette er det største læk i historien,« siger Jonathan Levin, som er forfatteren til en serie af bøger om Apples produkter til Motherboard.

Tåbelig udtalelse.

For det første er det en ret gammel version der er leaked.

Derudover har det været fuldt ud muligt for... sikkerhedsinteresserede... at få fingrene i det compilede kode. Det er ret lille subsystem, så det har været ganske overskueligt at reverse engineere det.

Hardly the “biggest leak in history” for anyone that maintains private source code repositories for the entire Microsoft Windows code base, proprietary Solaris trees, the Cisco IOS code bases, BSD4.4 unreleased trees, or baseband firmware source. This is like a blip on the radar.

~Don A. Bailey.

Hans Nielsen

"WL drejer sig om at afslører staters misbrug af borgerne.."

Da man ikke har adgang, så kunne der vel findes en bagdør til NSA.
Og man kunne med god ret så have det liggende på Wikileaks til at det er undersøgt til bunds ?

Sikkerheds mærsigt vil jeg mene, at adgang til kilekoden, og gennemgang af denne, af alle interesseret 3 part. Er langt bedre og sikker, end at tro at en hemmeligholdes giver sikkerhed.

At noget software er lagt ud i offentligheden, er jo ikke det samme som der ikke er copyright og licens rettigheder på det.

Men dette læk viser vel, at tro på at hemmeligholdelse af kode og procedurer ikke er en sikkerheds variant at benytte, Hvis man gerne vil have rigtigt sikkerhed. En 3 part har haft adgang til kildekoden, måske allerede da den blev lavet. Men heldigvis, formoder jeg at Appel kun har "gemt" denne kode, på grund af foreningen, ikke fordi de regnet med at det ville øge sikkeheden. Ellers må deres politik, når vi ser dette læk, virke tåbelig - Dem som vil hacke dem og der med os alle sammen, har sikkert adgang til hele deres kildekode. Hvis vi andre får det samme, har vi i det mindste en mulighed for at hjælpe med at finde huller, eller se om Appel hjælper med overvågningen. - Dette kunne give en legitim moralsk ret til at lægge det på Wikileaks

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017