Исходный код iBoot, ключевого компонента операционной системы iPhone, был вчера опубликован на GitHub, что вызвало опасения, что хакеры и исследователи безопасности смогут изучить код для поиска уязвимостей iOS.
В заявлении, опубликованном сегодня утром для MacRumors, Apple подтвердила подлинность кода, но подчеркнула, что он относится к iOS 9, трехлетней операционной системе, которая была заменена на iOS 11 и используется лишь на небольшом числе устройств.
«Похоже, что три года назад был опубликован старый исходный код, но по своей сути безопасность наших продуктов не зависит от секретности нашего исходного кода. В наши продукты встроены многоуровневые аппаратные и программные средства защиты, и мы всегда призываем клиентов обновляться до последних версий программного обеспечения, чтобы воспользоваться новейшими средствами защиты.»
По данным страницы поддержки App Store Apple для разработчиков, iOS 11 установлена на 65 процентах устройств, iOS 10 — на 28 процентах устройств, а более ранние версии iOS, такие как iOS 9, — всего на семи процентах устройств.
Помимо подтверждения того, что утечка содержала реальный исходный код, Apple также отправила уведомление DMCA о прекращении нарушения авторских прав в GitHub сегодня утром, успешно добившись удаления кода с сайта.
Данные, которыми поделились на GitHub, были неполными, поэтому код iBoot не удалось скомпилировать, но он включал каталог документов с дополнительной информацией, относящейся к iBoot, и в совокупности утечка данных могла бы упростить поиск уязвимостей для создания новых джейлбрейков.
Обычным пользователям, однако, не стоит беспокоиться об утечке, поскольку Apple имеет многоуровневую систему защиты, такую как Secure Enclave, и не полагается только на секретность исходного кода для обеспечения безопасности своих пользователей.
Исследователь безопасности Уилл Штрафах, который беседовал с TechCrunch, вторил тому, что сказала Apple. Он считает, что исходный код интересен, поскольку он дает представление о внутренней работе загрузчика, но в конечном итоге «Apple не использует безопасность через неясность», поэтому в коде нет ничего рискованного.
