福布斯报道称,苹果上周末向开发者发布了iOS的新测试版本,该版本限制了evasi0n等主流越狱软件的使用。evasion的创始团队中的一名成员David通过测试证实了这一消息,并表示如果evasi0n所利用的iOS漏洞被修复,将不得不另起炉灶。
David在分析新iOS版本6.1.3 beta 2时发现,新版更新至少修正了evasion用于越狱的五个Bug中的一个,也就是操作系统时间栏设置中的一个漏洞。David称,这是苹果放出的一个信号,该公司想终结evasi0n等越狱软件的使用。“如果有一个Bug被修复了,evasion就用不了了。虽说我们可以再找到新的bug用于替换,但是等6.1.3正式出来时,苹果应该可以修复我们能找到的大部分Bug。”
evasion是第一款iOS 6.0后的完美越狱工具,上线四天里就有近700万台设备利用它越狱成功。David称,iOS新版本不会终结evasi0n的寿命,一般来说iOS从测试到发布需要一个多月的时间,越狱软件仍有应对的余地。
苹果在阻止越狱软件方面一直心有余而力不足,该公司应对越狱软件的时间周期一般为9天左右,即发现某款越狱软件兴起,将在9天左右发布补丁阻止该软件工作。苹果此次采取行动时,evasi0n新版本推出已达3周。
苹果这次反应慢的部分原因可能是evasi0n的安全隐患并不大,不像另一款越狱软件Jailbreakme那样可以让用户设定只访问一个网站、瞬间打破iOS设备的限制。不过安全研究人员仍然指出,Evasi0n可以给罪犯或间谍提供一些可乘之机。该软件利用了iOS系统内5个不同的漏洞,所有这些漏洞都可能被利用或与其它黑客技术相结合使用。
F-Secure研究员米科·海波恩(Mikko Hypponen)指出,如果一个黑客使用Mac或Windows漏洞进行攻击用户的PC,当目标用户使用evasi0n给移动设备越狱时(需要连接到PC),移动设备也可能被侵入。
当然,苹果此次推出新测试版本还有一个原因是为了修复本月早些时候发现的另一个漏洞:在iOS 6.1系统中,黑客无需PIN码,只需进行紧急号码呼叫(国外是112),然后立即挂断并且回到拨号盘,就可访问iPhone手机的内部信息。
不过,即便iOS6.1.3 beta 2发布,越狱团队evad3rs可能还有更多的招数应对。evad3rs团队发现了iOS操作系统中存在的足够多的漏洞,哪怕目前使用的漏洞被完全封堵,他们几乎可以再建一个全新的iOS越狱工具。所以,在有任何新消息出来之前,已经越狱的用户只需静观其变。
|