信息來源：FreeBuf

近期，以安全著稱的蘋果iOS系統(tǒng)被曝出iBoot源碼泄漏，被發(fā)布到GitHub，這幾乎是iOS系統(tǒng)有史以來遭遇到的最大的安全事故了。黑客可利用此源碼發(fā)現(xiàn)iOS 系統(tǒng)漏洞，更輕松越獄。

不過在消息傳出之后，蘋果也很快聯(lián)系GitHub刪除了源碼，但互聯(lián)網(wǎng)上存在的許多副本就可能沒辦法徹底解決了。

iBoot是iOS系統(tǒng)安全的關(guān)鍵組件，作為iOS設(shè)備開啟時(shí)運(yùn)行的第一個(gè)軟件。它負(fù)責(zé)檢查平臺的完整性以及內(nèi)核是否正確簽名。因此，iBoot對于iOS系統(tǒng)來說非常重要，作為Bug獎(jiǎng)勵(lì)計(jì)劃的一部分，蘋果甚至愿意為發(fā)現(xiàn)iBoot漏洞者提供高達(dá)20萬美金的獎(jiǎng)勵(lì)。

此次泄漏的源碼來自iOS  9.3.X版本。雖然最新版的iOS 系統(tǒng)已經(jīng)升級到了iOS 11，但iOS 9仍然有不少用戶在使用，同時(shí)其中一部分可能仍人包含在iOS 11中，黑客可通過分析該源碼查找安全漏洞。

在蘋果要求刪除源碼的通知中，似乎也確認(rèn)了這次泄漏源碼的真實(shí)性，蘋果稱：

根據(jù)這些法律，以下（通過URL）標(biāo)識的存儲庫中的文件是非法的，因?yàn)槌渌马?xiàng)外，這些文件提供未經(jīng)版權(quán)所有者授權(quán)分發(fā)版權(quán)項(xiàng)目；

復(fù)制蘋果的“iBoot”源代碼，負(fù)責(zé)確保蘋果iOS軟件的可信引導(dǎo)操作?！癷Boot”源代碼是專有的，它包括蘋果的版權(quán)聲明，它不是開源的。

目前GitHub上的iBoot源碼已經(jīng)被刪除，但其副本現(xiàn)在正通過私人文件共享網(wǎng)站（如Mega.nz等）在越獄愛好者之間共享。包含泄露源代碼副本的新版本庫也會(huì)每隔幾個(gè)小時(shí)在GitHub上彈出一次。

安全研究人員透露，這個(gè)代碼在四個(gè)月前實(shí)際上泄露了，當(dāng)時(shí)用戶在Reddit上分享了一個(gè)鏈接，當(dāng)時(shí)這個(gè)鏈接被用戶發(fā)布的要求自動(dòng)刪除，因此被忽略了。

不過也有一些安全專家持有不同意見，他們并不認(rèn)為這次泄漏會(huì)產(chǎn)生多大影響，因?yàn)閕Boot源代碼經(jīng)常被反向設(shè)計(jì)為日常查錯(cuò)操作和科學(xué)研究的一部分。過去幾年一直存在著不準(zhǔn)確的副本，而這次事故顯然是被炒作的有點(diǎn)過頭了。

對于普通用戶而言，將iPhone升級到最新版本的iOS 系統(tǒng)能夠有效降低安全風(fēng)險(xiǎn)。而本次iBoot源碼泄漏事件的后續(xù)，F(xiàn)reeBuf會(huì)密切關(guān)注，看蘋果如何回應(yīng)并采取何種措施來降低風(fēng)險(xiǎn)。