上周早些时候,一位自称为“Comex”的程序开发人员放出了一项苹果iPhone 4的破解。iPhone 4的使用者只要前往某个特殊网站,就可以比以往更轻松破解其装置。
除了iPhone 4之外,苹果一些使用iOS操作系统的先前产品也可以透过这种方式破解。(所谓“破解”就是修改iPad、iPhone、iPod Touch等装置的操作系统,让装置在执行应用程序时不需要苹果 App Store。)
知名苹果信息安全研究员Charlie Miller也肯定了这次的破解品质。这次的破解利用了两个不同的漏洞,第一个是Safari浏览器处理.PDF文件的方式让.PDF文件可以内嵌一个精心制作的字型,来让黑客执行任何程序代码。这看来似乎与Mac OS X三月所修补的漏洞是相关或相同的问题。第二项漏洞让破解程序可以取得装置的管理员权限,不过详细内容并未公开。
这些破解者所采用的方法,没有理由不会被黑客用来将恶意程序植入采用iOS系统的装置。虽然目前为止尚未传出任何攻击案例,不过将来就很难预料。针对这项漏洞,苹果尚未发表任何官方修补程序的消息。
虽然该文件似乎不会造成任何破坏,但未来却很可能遭人用于恶意攻击。正如我们资深安全威胁高级研究员所说:“现在,任何人都能轻松制作一个利用这项漏洞的恶意PDF文件。因为,上述破解网站已经有一份针对此漏洞的公开PDF文件,人们只要在当中加入从事破坏的程序代码即可。”
