作者olmtw (olmtw)
看板MobileComm
標題[新聞] 蘋果 Face ID / Touch ID 安全晶片傳漏洞
時間Wed Aug 5 08:43:20 2020
蘋果 Face ID / Touch ID 安全晶片傳漏洞!無法修復、iPhone 5S 後續機種中招
文/記者黃敬淳/ 2020-08-05 08:05
據國外科技網站《9to5Mac》消息,蘋果在自家處理器及部份 Mac 上採用的安全元件「
Secure Enclave」,被轉型為「白帽駭客」的前越獄團隊盤古(Pangu)發現了一些漏
洞,可能導致用戶的資安受到影響。
「Secure Enclave」主要用來加密或處理用戶的重要安全資訊,如自 Facd ID、Touch
ID 儲存到的生物辨識資料,或是執行 Apple Pay 付款等高度資安需求活動。這項重要
的安全元件,並被普遍使用在所有具備蘋果自家處理器的裝置,如 iPhone 5S(含)以
後的出品的 iPhone、所有 Apple Watch、Apple TV 四代(含)以後機型、iPad Air(
含)以後的 iPad,以及 HomePod 和部份搭載 T1、T2 安全晶片的 Mac 電腦,如具備
Touch Bar 觸控列的 MacBook Pro。
盤古團隊並稱,其發現的漏洞為硬體層級,無法透過事後的軟體更新修復。值得關注的
是,儘管「Secure Enclave」先前就曾傳出被破解的消息,但當時的第三方團隊並無法
獲得安全密鑰,因此並不影響用戶的安全,但此次盤古團隊發現的漏洞,則可能導致安
全加密被破解。而受到該漏洞影響的裝置,則包括搭載 A7 ~ A11 Bionic 處理器的蘋
果裝置,以 iPhone 來說,為 iPhone 5S ~ iPhone X 期間內的 iPhone。
有趣的是,受到該漏洞影響的裝置,也正好是能透過「checkm8」漏洞越獄的蘋果裝置
。
目前,這項漏洞已在使用 A12、A13 晶片的裝置上被修復,如 iPhone XR、iPhone 11
系列,換言之,近兩年內推出的蘋果裝置將不受影響。盤古團隊目前亦暫未公布完整的
漏洞內容。
https://3c.ltn.com.tw/news/41234
心得:
這個影響的範圍其實還滿大的,iPhone 5S現在還在用的應該無多了
但是iPhone X那代的用戶肯定是還有不少,蘋果應該也會想辦法解決好
--
Sent from
Google Chrome on
Windows 10 Pro.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.137.238.64 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MobileComm/M.1596588202.A.ADD.html
1F:推 peterwu4: 一看到最近的機種不影響… 強迫升級啊XDD Strong BUY!! 08/05 08:58
2F:推 tonyian: 有差嗎,反正蘋果粉活在有apple mark就是安全的安心感, 08/05 08:59
3F:→ tonyian: 被偷光也沒差啦 08/05 08:59
4F:→ BIGETC: 這家的安全就是自我催眠的成果 08/05 09:11
5F:推 BoardTurtle: 根本強迫升級,幹 08/05 09:15
6F:推 y1896547: 封閉系統最安全 08/05 09:22
7F:推 dome: 所以FBI要求apple解鎖是犯傻嗎? 08/05 09:31
8F:→ dome: 乾脆要求盤古公司好了… 08/05 09:31
9F:→ dome: FBI都解不了到底安不安全呢? 08/05 09:32
10F:推 Allenk: 強迫換機欸 好猛 08/05 09:35
11F:推 shasen1235: FBI能解會詔告天下嗎? 08/05 09:43
12F:噓 ITRIboy: 見縫插針酸酸要出動了嗎 08/05 09:46
13F:推 lulululula: 新機都沒有中表示蘋果早就知道這漏洞了? 08/05 09:48
14F:推 streit: 信仰不足,請儲值。 08/05 09:51
15F:→ CyBw: X居然再裡面 08/05 09:56
16F:噓 maplefff: 果黑出來高潮囉 08/05 10:12
17F:推 DemonElf: 有種變相要使用者換新機的意味 08/05 11:17
18F:推 suichui: 原本看嚇了一跳,原來A12之後修復了 08/05 11:22
19F:推 Xperia: 有漏洞還怕人酸,挺好笑的 08/05 12:14
20F:推 dome: 樓上自己觀落陰!誰怕? 08/05 12:15
21F:→ dome: 黑黑真的很愛當大師觀落陰感應別人的感受… 08/05 12:16
22F:→ dome: 也不知道是感應誰的… 08/05 12:17
23F:推 Xperia: 12樓不就急著出來罵人見縫插針,明明就是廠商的問題還要 08/05 12:19
24F:→ Xperia: 極力護航,果粉真是辛苦 08/05 12:19
25F:→ Xperia: 拿同樣標準要求安卓廠商跟蘋果沒那麼難啦 08/05 12:19
26F:→ chunnhp0716: 蘋果都有漏洞了 安卓一定更多啊 08/05 12:31
27F:噓 Ptt911: 忍術,說別人高潮之術 08/05 12:41
28F:推 poliku: 6 7 8還是不少人在用 不是每個人都換X或11 08/05 13:28
29F:→ azuel: FBI確實這方面的事情會跟駭客團體接觸啊 08/05 14:22
30F:→ azuel: 然後FBI本職又不是駭客,就算有雇用白帽也不會有雇多 08/05 14:23
31F:→ azuel: 這不就像在說"衛生署都研究不出疫苗"一樣搞笑嗎... 08/05 14:26
32F:→ azuel: 不過也不用大驚小怪啦... 能JB就表示找到新漏洞 08/05 14:36
33F:→ azuel: 一直有新JB就是一直有新漏洞,但不見得有具體危害 08/05 14:36
34F:→ azuel: (後續如果發生安全事件大爆炸的話不要找我) 08/05 14:38
35F:→ tonyii: 設計的後門打開了,果迷們該儲值信仰了。 08/05 14:47
36F:推 dome: FBI專門“收集情報”的耶…你的比喻才搞笑吧 ^^ 08/05 14:48
37F:→ azuel: FBI是"調查局" 調查百百種犯罪 解鎖只是調查犯罪的"工具" 08/05 14:50
38F:→ azuel: 或是牽涉到資訊犯罪之類的,也只是FBI業務的一小部分好嗎 08/05 14:50
39F:→ dome: (反恐攻..網路攻擊..)也是它的主要任務...被你講鼠雂ㄜ垠n 08/05 16:57
40F:→ dome: 講得很不重要 08/05 16:57
41F:→ dome: 還是你覺得“情報”跟手機,網路這些不相關!? 08/05 17:00
42F:→ azuel: 這些當然是任務,但是鑽研手機的安全性漏洞不是 08/05 22:25
43F:→ azuel: 所以他們僱用會破解的人就好了啊 懸賞就行了啊 08/05 22:26
44F:→ azuel: 飛安調查墜機都要查黑盒子,誰跟你調查單位自己修黑盒子 08/05 22:28
45F:→ azuel: 都是送去相對應的專業機構修,調查員拿到資料調查就好 08/05 22:29
46F:→ azuel: 當然不表示FBI不具備一定程度的破解能力,但這不是主要業務 08/05 22:29
47F:→ azuel: 所以FBI自己不能破解根本不代表甚麼,也不代表FBI束手無策 08/05 22:31
48F:→ azuel: 自己破不了 -> 問手機公司給不給破 -> 不給破 -> 找駭客 08/05 22:32
49F:→ azuel: 這也只是破案情資的其中一種來源而已 08/05 22:32
50F:→ azuel: FBI要管的聯邦犯罪類型超過200種,本來就不是專職駭客單位 08/05 22:35
51F:→ azuel: 所以FBI破解不了不代表全世界沒人能破解,邏輯ok? 08/05 22:36
52F:推 dome: 所以我邏輯沒問題啊!FBI解不了--> 到底安全嗎? 看你講的 08/06 00:02
53F:→ dome: 跟我認知的差不多:有一定程度的安全 08/06 00:02
54F:→ dome: 我從來沒說“沒人”破解的了… 08/06 00:02
55F:→ dome: 但你的比喻根本就是FBI完全不會破解-->因為衛生署完全不生 08/06 00:03
56F:→ dome: 產疫苗 08/06 00:03