蘋果公司內部核心代碼泄露在github上
0x01、泄露危害:
iPhone『s operating system on GitHub 黑客和安全研究者會很快找出越獄漏洞,蘋果傳統上一直非常不願意向公眾發布代碼,儘管近年來已經使得iOS和MacOS的某些部分成為開源代碼。 但它已經特別注意保持iBoot的安全性和其代碼的私密性; 如果通過其賞金計劃向蘋果公司報告,引導過程中的錯誤是最有價值的,最高金額為20萬美元。
0x02、事件處理:
在這個故事發布幾個小時後,蘋果公司發出了DMCA法律聲明,要求GitHub取下iBoot代碼。 「iBoot」源代碼是專有的,它包含了蘋果公司的版權聲明,不是開源的。「這樣,蘋果間接證實了代碼是真實的。GitHub不久之後就取消了這個代碼
0x03、什麼是iBoot:
iBoot它是iOS的一部分,負責確保操作系統的受信任的引導。 換句話說,這是載入iOS的程序,這是開啟iPhone時運行的第一個進程。 它載入並驗證內核是否被蘋果正確簽名,然後執行 - 就像iPhone的BIOS一樣。
0x04、影響版本:
該代碼表示,它適用於操作系統的較早版本的iOS 9,但部分代碼仍可能仍在iOS 11中使用。
0x05、安全反思:
從事件描述中發現,apple安全部門是沒有github監控的,github泄露後,很多用戶會大量複製,泄露範圍就無法控制。那麼做為源代碼控制最後一道關卡,建議還要有一套gitbub監控系統,當然需要在源代碼生命周期管理的各個環節都要對其進行有效的管理。
核心源代碼建議要有一定的防止反編譯的措施,針對於研發部門要嚴格控制核心代碼gitlab的許可權(只有開發者和主管有相應的訪問許可權),在source code review過程中也要嚴格控制。合併代碼到master後,進入到部署環節後,對運維團隊也要嚴格控制,如果不是頻繁部署的代碼,建議研發人員自己部署。出現bug調試的時候,建議開啟dedug模式,不要在生產環境上源碼調試。等等。。。
文章出處: IT信息安全顧問
你可能喜歡
※如何用黑科技幫女友瓜分沖頂大會百萬獎金!
※BCC涉嫌傳銷,惹怒中國黑客,老闆被曝光
TAG:黑白之道 |