Самый крупный слив исходного кода в истории Apple

Самый большой слив в истории Apple произошёл из-за стажёра Apple. При этом он не хотел его никуда выкладывать, а лишь отослал своим друзьям.


Неизвестный выложил на GitHub исходный код части компонентов iOS, отвечающих за загрузку системы.

Код iBoot относится к версиям iOS 9.3.X, однако часть этого же кода используется и в более поздних версиях системы. Загрузчик отвечает за верификацию ядра и проверяет подлинные подписи Apple, которые необходимы для работы системы.

Публикация исходного кода загрузчика может помочь специалистам найти уязвимости и обойти защиту устройств. Кроме того, утечка может позволить некоторым продвинутым пользователям эмулировать iOS на других системах.

Автор книг о системах Apple Джонатан Левин уже назвал публикацию файлов «крупнейшей утечкой в истории». Он добавил, что выложенный код с высокой вероятностью аутентичный. Ещё один разработчик подтвердил, что на GitHub выложили оригинальный код.

Apple не прокомментировала инцидент. При этом несколько часов спустя владельцы GitHub получили официальное уведомление от Apple с требованием удалить исходный код с сайта, так как он нарушает авторские права компании. Таким образом, Apple косвенно подтвердила, что код был оригинальным. На данный момент код уже удалён.

 

 

Левин добавил, что для обычных пользователей утечка означает появление непривязанного джейлбрейка (то есть операция, которая позволяет получить доступ к файловой системе, — прим. КД). После перезагрузки или выключения устройства пользователю не придется вновь взламывать смартфон. Поначалу джейлбрейки были обычным явлением, но теперь их чрезвычайно сложно найти на современных iOS.

Стоит отметить, что Apple очень неохотно показывает код публике. При этом корпорация уделяет особое внимание сохранности iBoot. Ошибки в процессе загрузки являются самыми ценными. За найденную уязвимость в компании готовы платить до $200 тысяч.

Утечка исходного кода загрузчика iBoot произошла из-за стажёра Apple, который работал в штаб-квартире в Купертино.

 

 

Как пишет Motherboard, код загрузчика был украден ещё в 2016 году, при этом сам сотрудник корпорации не собирался его выкладывать. Источники издания в Apple рассказали, что стажёр отослал пятерым своим друзьям, которые занимались взломами систем, не только исходный код, но и выкрал «всевозможные инструменты Apple и кое-что ещё». При этом источники не поясняют, что это было, ссылаясь на пункт о неразглашении.

В конце концов, код был передан кому-то из внешнего круга, который не входил в первоначальную пятёрку. Таким образом группа потеряла контроль над материалом:

Я был весь на нервах из-за того, что этот код мог в любой миг быть опубликован кем-то из нас. Владеть исходным iBoot, не работая в Apple — неслыханно. Я не хотел бы, чтобы он попал на свет. Не из-за жадности, а из-за огненной бури, которую вызовет. 

Через год после утечки код стал распространяться всё быстрее и быстрее, пока не попал на Reddit и на GitHub. На данный момент история стала слишком мутной. «Никто, с кем я разговаривал, точно не знает, кто слил код за пределы группы» , —  добавил источник. При этом собеседники утверждают, что код, который просочился на GitHub является лишь копией оригинала.

 

Скриншот файла загрузка iBoot

 

В самой Apple уже успокоили пользователей, сказав что в Сеть утёк старый код. При этом они потребовали его удалить с сайтов:

По-видимому, утек старый исходный код 3-летней давности, но задумано так, что безопасность наших продуктов не зависит от секретности исходного кода. В наши продукты встроено множество слоев защиты на уровне программного и аппаратного обеспечения, и мы всегда призываем пользователей обновляться до новейших версий ПО.

Другие новости