1
蘋果越獄不好搞,但他們居然兩個月內針對三個最新版系統“越”了三次,這就很神奇了。
“他們”就是阿里巴巴的潘多拉實驗室。
潘多拉實驗室于 2017 年成立,此前僅在阿里先知創新大會上露過一次面,其安全研究員用視頻演示了安卓8.0 的 Root 提權和 iOS 11.1 的完美越獄。
12 月 13 日,阿里安全潘多拉實驗室稱,已經完美越獄蘋果 iOS 11.2。一天后,在蘋果發布了 iOS 11.2.1之后的數小時內,他們又演示了針對該版本的完美越獄。
“完美越獄”是有技術含金量的。“非完美越獄”后的手機一旦重啟,你就得重新手動操作一遍越獄流程,有點像“一次性”越獄。而完美越獄可在重啟手機后,還能自動執行越獄代碼,在重啟前完成越獄。
人前厲害、風光,人后的苦可能只有研究者自己知道。
潘多拉實驗室 iOS 11.2 的越獄作者龍磊對宅客頻道表示, 2015 年初步研究蘋果越獄時,十分孤獨。有意思的是,上一個對雷鋒網宅客頻道表達這種憂思的是騰訊科恩越獄了 iOS 11.1. 1 系統的著名黑客陳良。“越獄期間我買了一個小酒壺,郁悶時候喝兩口,偶爾還能激發別的思路。”陳良說。
龍磊經歷思路受阻,睡不著覺時,會喝兩口意式濃縮,看看越獄和咖啡,到底哪一種更苦。
龍磊不是一開始就選擇研究蘋果越獄的。確切來說,一開始他想專職研究蘋果系統越獄,但沒敢。
“不敢”是有原因的。
2011 年,龍磊加入了騰訊手機衛士團隊。當時,他在騰訊做的是越獄環境下的應用。。比如,蘋果手機越獄后可以在非官方店下載第三方應用,他做的就是與第三方應用和生態相關的事情。2014 年 6 月,龍磊從騰訊離開時,中國還沒有人成功實現蘋果手機越獄。
在此之前,要去探索一座國人尚未涉獵過的高峰,不知道前方能否有所收獲,可能需要積累勇氣。不過,這并不妨礙他在工作之余自學越獄技術。
環境推了龍磊一把。
從友盟發布的數據看,越獄 iPhone 在手機總數中所占的比例從 2013 年第一季度時的 35% 下降到了當年年底時的 12% 。從 2013 年年底開始,越獄 iPhone 所占的比例穩定在了 10%-15% 之間。
“越獄的生態越來越萎縮,蘋果生態研究變得沒有那么有市場,感覺掉轉方向的時機可能到了。”龍磊說。
2014 年 6 月,龍磊決定離開,去探尋可能可以追逐最初夢想的機會。
不料,6 月 24 日,中國有個叫做“盤古”的越獄團隊與知名的第三方市場 PP 助手聯合發布了國內首款 iOS7.1.1 完美越獄工具“盤古”。
龍磊看到這則新聞時,感到又驚喜又緊迫。
此時,他已經打算進入阿里巴巴的移動安全團隊,準備探索 iOS 系統的不足——這個看上去離原來的興趣更近一點了。但他依然沒敢“正大光明”地宣告自己要越獄,還在積累技術。直到 2014 年底,龍磊覺得自己的技術“差不多了”,他所在的部門也很支持這件事。他覺得“越獄”這件事可以搞了。
不過,事情沒有那么順利。
2015 年,龍磊陸續向蘋果提交了一些漏洞,并帶著自己關于構建通用漏洞挖掘工具的思路《Optimized fuzzing IOKIT in iOS》在世界著名黑客大會 Blackhat 2015 上進行了分享。臺下,他還與蘋果公司的工作人員聊了很多關于蘋果系統機制的問題。
看上去順風順水。但是,一個念頭閃了過來,龍磊突然覺得自己可能走岔了路。
龍認為,自己在通用的漏洞挖掘工具上投入了太多精力,卻忽略了對蘋果安全機制本身的研究。
2017年 12 月 18 日,龍磊和潘多拉實驗室負責人宋楊坐在雷鋒網宅客頻道面前時,是這樣反思的——“對于蘋果安全機制的研究恰恰是最重要的。”宋說,龍磊在以前阿里內部的經驗分享上,還著重介紹了蘋果越獄的兩個技術流派:“氣宗”和“劍宗”。
其實,這就是安全圈挖掘漏洞的兩種主流的方式。第一種,開放通用的漏洞挖掘工具。第二種,完全不用工具,靠研究人員去做分析、看代碼。
龍說,不能說哪種方法更好。如果面對是成熟度比較低的代碼,使用漏洞挖掘的工具效率可能會更高,但如果面對的是 iOS 內核級的漏洞,它的代碼過了很多年以及無數安全研究員的檢驗,代碼發展已經變得非常穩定,這種情況下,通過深入分析和工具,效果會更好。
顯然,龍磊認為,工具并不是自己朝蘋果越獄前進最重要的東西,理解 iOS 系統,研究它的安全機制,才是驗證蘋果系統是否有“缺口”的關鍵所在。
這也是后來潘多拉實驗室一直沒有發布越獄工具的原因之一,宋楊認為,發布工具不是他們的目的,他們的初衷還是檢測蘋果系統是否“足夠安全”,從攻擊視角提升移動生態安全的水位。
2016 年是龍磊最“痛苦”的一年。
及時調整方向后,原來的老搭檔也來到了阿里,龍磊與他一起全身心地投入了蘋果系統的深入研究與分析,并嘗試用新思路來做這件事。
很快,他們完成了第一次越獄。但是,龍磊等人的喜悅并沒有維持多久,蘋果就進行了一次安全升級,這次的越獄馬上失效了,龍磊等人研究出來的“越獄有效時間”只有 3 個月。“當時,我感受到了很強的挫敗感,自己投入了很長時間研究的東西,蘋果發布一個安全修補升級后,我們的努力一下子從100分降到了0分。”龍磊說。
隨后的一年里,他們都在找漏洞—完成越獄—漏洞被蘋果修補這三種狀態間來回切換,龍磊等人與蘋果玩著“貓捉老鼠”的游戲,一時間無法找到穩定的越獄方法,十分焦慮。
直到 2017 年,隨著其研究的深入和經驗的積累,龍磊等人才可以做到比較快速地應對蘋果的安全升級,并且保持越獄的能力。
龍磊沒有透露此次越 iOS 11.2 的手法。但雷鋒網了解到, iOS 11.1 包含有存在缺陷的、可以被繞過的 SMAP 機制。蘋果在 iOS 11.2 中修復了這個漏洞,迫使研究人員尋找其他繞過 SMAP 的方法。此次越獄 iOS 11.2 則利用了一個內存緩沖區溢出漏洞,觸發內核錯誤。
龍磊告訴雷鋒網,如果沒有意外,他們走出來的“這條大道”在接下來蘋果要發布的新版本中,大概率還能走得通。
他總結了一個經驗:“以前出過安全問題的一些模塊更有可能產生安全問題。但是業界對這些模塊的關注度是一陣一陣的。比如,有人這一年關注這個模塊,下一年關注另外一個模塊,但我可能會選擇回退好幾年,去看大家曾經關注過的模塊,那些看上去成熟度已經非常高的模塊一旦找到漏洞,或者安全機制上的問題,就不那么容易被修補。”
不追熱點,能回頭反思,找成熟度最高的模塊下手,挑戰看上去最不可能的路,對龍磊而言,恰恰是走得最快的那條路。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
