GitHubで公開されたiOSのブートローダー「iBoot」のソースコード、Appleの要請で削除 54
ストーリー by headless
本物 部門より
本物 部門より
iPhoneの重要なソフトウェアコンポーネント「iBoot」のものとされるソースコードがGitHubで公開され、米デジタルミレニアム著作権法(DMCA)に基づくAppleの削除要請により削除されている(Motherboardの記事、
Mac Rumorsの記事、
9to5Macの記事、
The Registerの記事)。
iBootはiOSデバイスなどの第2段階ブートローダーとされ、リカバリーモードを実行するほか、カーネルが改変されていないかをチェックする役割を果たすという。公開されていたのはiOS 9のもので、不足しているファイルがあるためコンパイルすることはできない。ただし、最新のiOS 11でも共通部分があるとみられ、セキュリティ研究者による脆弱性発見などに役立つ可能性が指摘されている。
iBootのソースコードとされるものは昨年9月、リンクがRedditに投稿されていたものの、あまり注目を集めなかったようだ。今回のソースコードについては研究者らから本物らしいとされつつ確証はなかったが、Appleの削除要請により本物であることが確認される結果となる。AppleはiBootについて、iOSの安全なブート処理を確実にするもので、ソースコードは同社のプロプライエタリな著作物であり、オープンソースではないと削除要請で説明している。このソースコードはGitHubで多数フォークされたようで、Appleが別途削除を要請したリポジトリは合計200件を超える。
その後、Appleはソースコードが本物であることを認めたうえで、同社製品のセキュリティはソースコードを秘密にすることで守られているわけではないとし、製品にはハードウェアとソフトウェアによる保護レイヤーが数多く施されているとの声明を出したとのことだ(Mac Rumorsの記事[2])。
iBootはiOSデバイスなどの第2段階ブートローダーとされ、リカバリーモードを実行するほか、カーネルが改変されていないかをチェックする役割を果たすという。公開されていたのはiOS 9のもので、不足しているファイルがあるためコンパイルすることはできない。ただし、最新のiOS 11でも共通部分があるとみられ、セキュリティ研究者による脆弱性発見などに役立つ可能性が指摘されている。
iBootのソースコードとされるものは昨年9月、リンクがRedditに投稿されていたものの、あまり注目を集めなかったようだ。今回のソースコードについては研究者らから本物らしいとされつつ確証はなかったが、Appleの削除要請により本物であることが確認される結果となる。AppleはiBootについて、iOSの安全なブート処理を確実にするもので、ソースコードは同社のプロプライエタリな著作物であり、オープンソースではないと削除要請で説明している。このソースコードはGitHubで多数フォークされたようで、Appleが別途削除を要請したリポジトリは合計200件を超える。
その後、Appleはソースコードが本物であることを認めたうえで、同社製品のセキュリティはソースコードを秘密にすることで守られているわけではないとし、製品にはハードウェアとソフトウェアによる保護レイヤーが数多く施されているとの声明を出したとのことだ(Mac Rumorsの記事[2])。
アイスクリーム、ユースクリーム (スコア:2)
あなたは U-Boot を使ってるのですか。
Re: (スコア:0)
組み込みから数年離れていたので聞き覚えがあるのにパっとでてこなかった・・・
BeagleBoardに入れたりしてたな〜
Re: (スコア:0)
Das Boot!
Re: (スコア:0)
Nice boat.
ナイスジョーク (スコア:0)
> 同社製品のセキュリティはソースコードを秘密にすることで守られているわけではない
原文 (スコア:2)
> the security of our products doesn't depend on the secrecy of our source code.
>There are many layers of hardware and software protections built into our products
「守る」とか訳者のセンスから出てきた単語と「文章から来る印象」で揚げ足取ってもしょうがないので、ここにぶらさげる。
原文では「ソースコードが漏れた事は事実だしそれは安全保証には関わるが、それでもまだ二重三重の安全策があるんだよ」と、弁解しないで安心させようとする印象を持ちました。
「外堀は脅かされたけど、まだ内堀も天守閣もあるよ。だからせめて来れないよ」です。
Re:原文 (スコア:3, おもしろおかしい)
大坂城「……」
Re: (スコア:0)
最近の srad.jp は原文読まずに脊髄反射してる人が多いですよね。
一つの理由として、原文つまり英語読める人は他のサイトに行って、
srad.jpは卒業してることが考えられます。
つまり、今居るのは卒業できなかった人。
今後はもっとコメントの質が落ちると思います。
Re: (スコア:0)
下記の馬鹿はともかく、トピック中の訳の方が正しいニュアンスの気がする。
ソースコードの漏洩が、セキュリティの一部を破壊したとは読めない。
Re: (スコア:0)
ソースコードの漏えいがセキュリティー上の問題ならOpenSSL、OpenSSH、OpenBSDとか全部だめってことになりますよね。
Re: (スコア:0)
そもそも守られてない。連打で突破できるセキュリティw
Re: (スコア:0)
XBOXの悪口はそこまでだ
Re: (スコア:0)
XBOXの場合ユーザの多くが子供であることを考えるとその手の攻撃に対するテストが抜けていたというのはまずいんじゃないかなー。
Re: (スコア:0)
たかがゲーム機に比べたら、重要なデータが入ってる可能性のあるパソコンのほうがきちんとテストしてないとヤバいでしょ。
Apple製品をそんな重要な用途に使うのが悪い、漬け物石とかにするべき、というなら、それはそれで一理あるかもだけど。
Re:ナイスジョーク (スコア:1)
どこからパソコンが出てきたのですか?
Re:ナイスジョーク (スコア:1)
「連打で突破できるセキュリティー」ってMac OSの話でしょ。
Re:ナイスジョーク (スコア:1)
親コメントからXBOXの話?だと思っていました。
Mac OSのどのバージョンか知りませんが気になるので調べてみます。
Re:ナイスジョーク (スコア:2)
https://srad.jp/story/17/11/29/0752249 [srad.jp]
たぶんこの件、割と新しい。
Re: (スコア:0)
https://security.srad.jp/story/14/04/07/1041246/ [security.srad.jp]
これじゃなくって?
Re: (スコア:0)
macOS 10.13.1(High Sierra)で、何度かボタンをクリックするだけでパスワードを入力することなしに認証が通ってしまうというwwwwwwwwwww
wwwwwwwwwwwwwwwwwwwwwwww
wwwwwwwwwwwwww
wwwwwwwwwwwwwwwwwwwwwwwwww
wwwwwwwwwww
wwwwwwwwwwwwwwwwwwwwwwww
wwwwwwwwwwwww
Re: (スコア:0)
Re: (スコア:0)
ええ、パーソナルなコンピューターですよ
Re:ナイスジョーク (スコア:1)
これはひどい…。参考になります。
うちの場合互換性の問題があってHigh Sierraはまだ入れてないけど
とりあえずダウンロードはするだけで使わないだろうな…
Re: (スコア:0)
このバグはさすがにとうの昔に修正されてるよ。だからアップデートしろとは言わんけど。
Re: (スコア:0)
ゲーム機ファンが子供もしくは子供っぽいというのは否定しづらいことではあるが、
Appleファンもずいぶんと子供っぽくない?
Re: (スコア:0)
むしろAppleファンは浅はかという意味で子供だと思うよ。そしてその事に開き直ってるボンクラばかりだよ。
こんにちはMBPユーザです。
Re: (スコア:0)
言ってることとやってることが違う
Re: (スコア:0)
ソースを秘密にしてセキュリティを維持しているわけではないからって、金払って作ったのもんをタダで他人に公開しないといけないわけでもない
個人的にはAppleなんぞブランドイメージ戦略だけでシェアを維持しているだけと思っているが、これに関しては責める点がない
Re: (スコア:0)
まあブランドイメージ落ちるよね、とは。
自社のソースコードを守れない会社が、iCloudの情報を守れるのか?みたいな話にもなるし。
Re: (スコア:0)
ソースコードと顧客の機密情報を同じように扱う会社があったらやべえよな。
あなたは開発中も顧客の本番データを使用させろ!って言うタイプ?
Re: (スコア:0)
得てしてブランドイメージは「必ずしも事実に基づく要素だけで構成されるわけではない」からね。
IT業界で働いた人なら(あるいはその方面の知識があれば)顧客情報と自社ソースコードの管理は別レイヤー、なんて常識だろうが。
そうでない大多数の一般人から見たら「なんかAppleが自社の機密データ漏洩してたらしいよ、私のiCloud大丈夫かな」ぐらいの認識にしかならなかったりするし、だからこそブランドに影響する。
たとえば日本の某大手「青い看板の銀行」なんか、ここ数年では顧客に影響するシステムトラブルは大手銀子のなかでかなり少ないけど(ソースは失念したが確か金融庁の資料)いまだに「システム方面が駄目」みたいなイメージの一般人はいるし。
そういう「過去のイメージの蓄積」もブランドイメージを構成する一因だから、今回の件が影響しないとは思わない。影響の度合いは大きくはなかろうけど。
Re: (スコア:0)
元コメは一般人だったのか。
すまんね開発者の例えだしても解らなかったよね。
Re: (スコア:0)
専門家に専門家としての常識があるのは正しい
世間一般の認識が、専門家のそれとズレてしまうのは、正しいとは言いきれないけど仕方が無い
でも世間一般の認識と、専門家の常識の乖離を念頭に置いて考えられないなら、専門家としては二流以下だよ
その成果物が世間一般にどう受け入れられるか、どう評価されるかを想定できない時点で、正しく評価されないから
自分の成果物が社会一般に害を為すリスクや、あるいは自分の行いが「専門家レベルでは間違いとはいえない」としても、社会に受け入れられない可能性とかを想定できないってことだし
Re: (スコア:0)
え、何ムキになってんのか知らないけど #3359737 があなた?一般人じゃなかったの?
だったら一般人みたいな事言ってないで専門家としてコメントすればよかったのに。
それとも何か無知な一般人を装ってFUDまき散らさないといけない理由でもあったのかい?
Re: (スコア:0)
信者必死すぎw
Re: (スコア:0)
macOSカーネルのソースコードは公開してるわけだが
流出させてしまった体制のずさんさと言い訳が今回の一番の問題点
Re: (スコア:0)
「セキュリティが守られている」という前提が偽であればどんな文も真になるから嘘は言っていないな
漏洩か契約違反じゃないの? (スコア:0)
流出元調査しとるのかな?アップル。
まあやるだけムダと思ってるかも知れないけど。
前のWindowsの時のもその後どうなったのか分からんし。
Re: (スコア:0)
Windowsのときは一緒に流出していたクラッシュダンプに、MSと契約してソースコードにアクセスできる会社の名前が残ってるとかいう話が出てたような
Re: (スコア:0)
今回の流出元はわかってるでしょ。
Re: (スコア:0)
無給インターン奴隷の投稿だそう、
https://motherboard.vice.com/en_us/article/xw5yd7/how-iphone-iboot-sou... [vice.com]
Re: (スコア:0)
投稿だそう、ハガキ職人!
なるほど、OSSは (スコア:0)
セキュリティが守られていない、ということですな
Re: (スコア:0)
少なくとも、githubにあるコードをそのままビルドして走らせたらよくないことが起きても仕方ないと思うが。
流出サイズ (スコア:0)
圧縮してたったの5MB。
Re:流出サイズ (スコア:1)
そりゃまぁブートローダーが巨大じゃ困るだろう、ソースコードレベルでも
Re: (スコア:0)
ソースコードを圧縮して5MBって巨大すぎじゃね?
いわゆるひとつの (スコア:0)
>Appleの削除要請により本物であることが確認される結果となる。
答え合わせ完了ってやつですな。
Re: (スコア:0)
非公開だったソースと、どうやって本物って判定できるんだろうか・・・
Appleの技術力は信用できないのだから (スコア:0)
むしろ公開して皆に批判的立場で
コードレビューしてもらった方がいい。
才能がない事をもう認めるべき。