牛年大吉！AppSync Unified 更新发布，研究人员入侵 Apple 等内部系统获 13 万美金赏金

Apps & Tweaks

|Jailbreak Guide|iDevices

内容要点

AppSync Unified  90.0 更新发布，新版进行了大规模重写，现在完全支持所有当前的iOS 14.x版本，同时还改善了所有其他iOS版本的体验；

研究人员通过安装程序攻击入侵 Apple，Microsoft 等公司内部系统，获超过 13 万美金漏洞赏金。

AppSync Unified  90.0 更新发布

完全支持所有当前的 iOS 14.x 版本

继上周发布更新予告后，AppSync Unified 今天发布了其最新版 AppSync Unified  90.0。新版本进行了大规模重写，现在完全支持所有当前的iOS 14.x 版本，同时还改善了所有其他iOS版本的体验。插件的详细介绍可看本站内容。

安装源：https : //cydia.akemi.ai/

完整的变更日志：

- 大量重写了 AppSync Unified，以最终添加对所有当前 iOS 14.x 版本（14.0至14.4）的支持；

- 对 AppSync Unified 呈现给所有 iOS 版本的虚假签名信息进行了重大改进；

- 添加了代码目录哈希值（cdhash）计算支持；

- AppSync Unified 现在还绕过 FrontBoard 的签名验证功能；

- 修复了在少数情况下 AppSync Unified 在 iOS 5 和 6上 无法始终正常运行的错误。

- 如果在安装期间添加了一条通知，告知用户如果安装后A ppSync Unified 似乎无法立即工作，请重新启动（或 ldrestart ）；

- 修复了有时无法安装Cydia Substrate的错误。

新版本适用于 iOS 5、6、7、8、9、10、11、12、13 和 14 的统一 AppSync 动态库。

AppSync Unified 不用于盗版。越狱也不是为了盗版。越狱是为了保护你的 iOS 设备的自由。AppSync Unified 不应用于盗版iOS应用。请支持 iOS 应用开发者，请勿盗版！

AppSync Unified通过官方的 Xcode iOS SDK 来实现 iOS 开发的自由。

AppSync Unified 是一项调整，允许在 iOS 设备上安装未签名，伪签名或临时签名的IPA程序包。

AppSync Unified 可以用于降级或克隆已安装的应用程序，下载伪造的 IPA（通常是模拟器），还可以帮助使用 Xcode 开发 iOS 应用程序。

研究人员入侵 Apple，Microsoft 等公司内部系统

获超过 13 万美金漏洞赏金

研究人员通过安装程序攻击入侵 Apple，Microsoft 等公司内部系统，获超过 13 万美金漏洞赏金

一位安全研究人员利用供应链攻击，入侵了苹果、微软、贝宝等大公司的内部系统，他称之为「依赖混乱」。

该攻击利用了开发人员用来打包和依赖的许多流行安装程序中固有的缺陷，通过将恶意软件上传到开放源代码存储库，研究人员 Alex Birsan 能够诱使这些安装程序下载其恶意代码。

Birsan 仅在公司错误赏金计划的范围内运作，并且仅从受到破坏的系统中收集非敏感数据，但是他的研究能够指出许多公司内部配置中的缺陷。

Birsan 已获得了超过 $ 130,000 的错误赏金。Shopify、Apple 和 PayPal 分别支付了 30,000 美元。以微软为例，Birsan 的研究使他获得了公司最高的 4 万美元收入。微软还发布了有关此问题的白皮书。

入侵过程以苹果公司为例，Birsan 在将恶意代码下载到他上传到 JavaScript 程序包管理器 npm 的 Node 程序包中后，便能够破坏公司内部网络中的多台计算机。具体来说， Birsan能够违反与 Apple ID 身份验证系统相关的项目。

苹果在披露漏洞的两周内修复了该漏洞。他在 2020 年 8 月向苹果公司报告了该漏洞，他收到了漏洞赏金。

供应链攻击依赖于许多开发人员对这些程序包安装程序的信任，这些程序包安装程序可能包括 npm，Python 的 pip 和 Ruby 的 RubyGems。另一个关键因素是使用公共存储库中不存在的内部软件包。通过以这些内部使用的软件包的名称上传一个恶意软件，Birsan 能够欺骗某些程序来下载其恶意代码，而不是合法软件包。他使用 DNS 秘密地窃取数据。