據 9to5mac 報導, 在 Mosec 2020 大會上,中國越獄團隊 Pangu (盤古) 發現了 Secure Enclave 安全協處理器上的一個「不可修補」的漏洞。這可能會讓 iPhone、iPad、Mac、Apple Watch 和其他 Apple 設備處於危險當中。
Apple 的 Secure Enclave 晶片可以加密和保護設備上儲存的所有敏感數據 ,是為設備帶來安全的保障晶片。Secure Enclave 安全協處理器幾乎是 Apple 產品的標準配置,它能為設備提供額外的安全保護,使用隨機密鑰對數據進行加密,只有 Secure Enclave 才能讀取。
這些密鑰對使用者的設備來說是獨一無二的,而且也絕不會與 iCloud 同步。除了加密使用者的檔案之外,Secure Enclave 還負責存儲管理敏感數據的密鑰,如密碼、Apple Pay 使用的信用卡,甚至是你的生物特徵識別以啟用 Touch ID 和 Face ID。這令到黑客更難在沒有密碼的情況下獲取你的個人資料。
The Team Pangu has found an “unpatchable” vulnerability on the Secure Enclave Processor (SEP) chip in iPhones. https://t.co/9oJYu3k8M4
— RIVER (@wugeej) July 29, 2020
而今次越獄團隊盤古所說的漏洞「不可修補」意味著該漏洞存在於硬件而不是軟件中,因此已出廠的設備可能無法修復這一問題。
目前配搭有 Secure Enclave 晶片的設備包括:
- iPhone 5s及更高版本
- iPad(第5代)及更高版本
- iPad Air(第一代)及更高版本
- iPad mini 2及更高版本
- iPad Pro
帶有 T1 或 T2 晶片的設備:
- Apple TV HD(第4代)及更高版本
- Apple Watch Series 1 及更高版本
- HomePod
目前,盤古團隊並沒有進一步說明該漏洞的細節,但如果能夠完全讀取 Security Enclave 數據,這意味著黑客就有機會可以獲得使用者的密碼、信用卡等信息。目前我們唯一知道的是,Secure Enclave 的這個漏洞會影響到 A7 和 A11 Bionic 之間的所有 Apple 產品,涉及範圍十分之廣。而 Apple 方面暫時仍未有任何回應,所以實際影響有多少暫時還不清楚。