• 19
一名实习生泄露iOS机密源代码,苹果却表示早已知情!
统计 阅读时间大约6分钟(2131字)

2018-02-11 一名实习生泄露iOS机密源代码,苹果却表示早已知情!

“盗取源代码的人其实并没有什么恶意,对苹果公司也没有什么不轨企图。”

【猎云网(微信号:ilieyun)】2月11日报道(编译:田小雪)

本周三,一位名为“ZioShiba”的用户在开源代码托管平台GitHub上泄露了苹果公司专有的iBoot源代码。作为iPhone最为基本和最为核心的关键组成部分,iBoot是iOS系统可信任启动的安全保障,属于苹果公司高级机密。

据一位iPhone研究人员表示,此次源代码泄露事件是苹果公司有史以来出现的最为严重的一次机密泄露。虽然遭到泄露的是两年前iOS 9的源代码,与现在相隔甚远,但仍然可能被相关iOS安全研究人员和越狱爱好者加以利用,在iPhone锁定系统中发现其他新的漏洞。

尽管苹果公司在一项声明中表示,对于大多数用户来说,iBoot源代码的泄露不会带来较大安全风险,但作为一家标榜自己高度重视隐私安全、绝不姑息任何泄露行为的公司,出了这种事它还是挺尴尬的。那么,这一源代码泄露事件究竟是如何发生的呢?

据两位知情人士表示,事情最开始是发生在2016年。当时,他们都是某一越狱社区的成员,从一位在苹果公司总部工作的朋友那里拿到的源代码。外媒《Motherboard》已经针对这一事件收集了不少文字材料和图片截屏,并且还联系到了第三位知情人士,对当时的情况进行了了解。

不过,对于这些知情人士的身份,《Motherboard》同意暂时保密,因为苹果公司很有可能会针对这样一种获取和传播其独有软件的行为追究法律责任。至于事情的源头,也就是那位在苹果公司工作的员工则表示,目前不会针对这件事情给出任何回应。他通过朋友透露,自己与公司签署了保密协议,所以无法给出任何答复。

根据这些内部人士的表述,盗取源代码的人其实并没有什么恶意,对苹果公司也没有什么不轨企图。当时在公司工作时,是在几位朋友的“怂恿”之下泄露了这一本属内部机密的源代码。这些朋友都是越狱爱好者,只是想要拿到源代码进行相关的安全研究。

因此,那位员工便从公司拿来了iBoot源代码以及其他一些尚未泄露的代码,在一个五人小群体中进行了分享。

知情人表示:“当时他从公司拿来了很多机密,包括各种各样的内部开发工具等等。”《Motherboard》表示,除了在GitHub泄露的那些内容,它还看到过其他属于机密的源代码和文件名称截图。

据五人小群体其中的两人表示,他们从来没有想过,也没有刻意计划在小群体以外传播这些源代码。甚至群体中还有一个人原本是不想要这些代码的,只是偶然在朋友的电脑上看到了而已。可事情并没有如他们所愿,最终源代码还是遭到了大范围泄露,超出了五人小群体的控制范围。

甚至其中有一个人说:“我都很怀疑,这些源代码到底是不是从我们几个人这儿泄露出去的。就我个人而言,我从来没有想到有一天这些代码会被公布出去,毕竟我们也很害怕泄露这些机密给自己带来法律麻烦。我知道,苹果公司的内部社区里有很多胆子大、点子新的好奇宝宝。要是他们拿到了源代码,是很有可能在GitHub上公开发布的。”

在他们看来,如果这些源代码遭到了大范围泄露和传播,那说不定会被某些不怀好意的人滥用,通过一些恶性的越狱行为攻击iPhone用户,说得不好听这些代码可能成为他们攻击其他人手机的武器。虽然对某些高举信息自由大旗的人来说,这些私密信息的公开是件好事,可一旦这些信息损害了他人的隐私安全,那可就不再算是信息自由了。他们还补充说到:“我们已经尽了自己最大的努力,试图确保这些代码是在过时且没有利用价值之后才传播出去的。”

内部人士表示,在那位员工从公司拿来那些代码,并且在五人小群体中分享之后的一年,不知道是谁把代码泄露给了原本不应该看到这些代码的某个外人,这才导致了机密外泄。

而且,有意思的是,根据所有知情人的介绍,他们根本不知道到底是谁最开始对外泄露了这些资料。而且,也不知道代码泄露出去之后发生了什么。但他们可以肯定的是,在代码泄露出去之后,事情的发展就逐渐不受控制了,传播范围越来越广,看到源代码的人越来越多。据Motherboard的了解,去年,在该群体熟悉越狱和iPhone研究社区第四位和第五位成员参与进来之后,这一代码的流传范围就更广了。

接着,去年秋天,就连那些与最初五位成员八竿子打不着的人,都开始相互分享这些源代码的截图了。他们在一个名为的Discord的越狱爱好者社区中公开传播这些资料,用一种吹嘘的口吻嘲笑社区中的那些其他成员。

而最初小群体当中的一人听说了Discord这个社区之后,就赶紧把自己手中所有iBoot副本全部销毁了。一来自己确实不再需要这些代码了,二来万一这些机密公开了,自己也好撇清关系。说白了,就算这些资料真的人人皆知了,也不是从自己这里泄露出去的。

可当时,一切都已经太晚了。因为没过多久,就有一个名为apple_internals的Reddit账户公开发布了一个链接,内容就是iBoot源代码。然而,好在当时他的帖子在Reddit的内容审查过程中遭到了删除,所以注意到的人并不多。可就在本周三,同样的内容又再一次出现在了GitHub上。

内部人士指出,他们相信这一次在GitHub上的泄露事件,与当初的五人小群体是没有任何关系的,应该是其他拿到这些资料的人发出来的。而且,目前GitHub上的内容并不是完整的源代码,而且也不是原本,只是副本。

这一次的传播速度非常快,先是越狱爱好者社区,后是iOS安全研究社区,再是Twitter这类社交媒体,最后就连科技媒体也开始报道了。

至于当事人苹果是否对周三的泄露事件事先知情,以及目前是否正式开始调查,它都没有给出任何回应。

在一封邮件声明中,公司表示:“大家无需太过惊慌,因为我们公司在设计时并非仅仅依靠源代码来确保产品的安全性。在各款产品中,我们还采取了很多硬件层面和软件层面上的保护措施。”

就在周三,苹果一位员工透露,其实早在相关人员在GitHub上公布代码之前,公司就已经对泄露事件有所了解了。但至于公司具体什么时候发现源代码被偷,他并没有给出回答。最初拿到代码的人表示:“按理说,所有这些资料是不应该流露出去的。现在这种情况,真的非常糟糕。很显然,现在大肆传播代码的人实属恶意为之,但最开始拿到这些资料的人只是想私下研究,并没有任何不轨企图。”

1、猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权。
2、转载时须在文章头部明确注明出处、保留官方微信、作者和原文超链接。如转自猎云网(微信号:lieyunjingxuan
)字样。
3、猎云网报道中所涉及的融资金额均由创业公司提供,仅供参考,猎云网不对真实性背书。
4、联系猎云,请加微信号:jinjilei
相关阅读
推荐阅读
{{item.author_display_name}}
{{item.author_display_name}}
{{item.author_user_occu}}
{{item.author_user_sign}}
×