没想到,这次低调的升级却牵出了 iOS 历史上最大的漏洞。
先科普一下,iOS 的安全级别大致分为应用层、系统层和内核层(层级越高,权限越大)。而如果想要越狱一部 iPhone,实际上是拿到内核权限。这需要逐层突破层层守卫,所以越狱往往需要几个漏洞层层配合才能实现。
早在苹果发布此次安全性更新的前一天,以曝光大规模监视任务为己任的,多伦多蒙克全球事务学院的公民实验室就发布了关于发现苹果 0Day 漏洞的详细研究报告,并将它们命名为“三叉戟”漏洞。这组漏洞究竟有多牛X呢?
1、这组漏洞全部是 0Day 漏洞。即在曝光之前,除了漏洞的发现者,没有任何人知道这个漏洞的存在;
2、用户只需要轻轻点击黑客发来的的链接,手机就会被远程越狱。黑客瞬间获得手机的最高权限;
3、利用最高权限,黑客可以远程对用户的iPhone进行操作、控制,查看手机摄像头、窃听用户谈话和录音、查看用户的应用信息,可以说是为所欲为。
讲真,利用一个链接,就可以彻底控制你的 iPhone,这种级别的 iOS 漏洞,一直是个江湖传说。人们经常说起,但就是没有人见过。
那么这组漏洞究竟为神马被曝光出来呢?故事的起因是这样的:
最初给公民实验室提供线索的是阿拉伯*斗士曼苏尔。8月10日与11日,曼苏尔收到了两条声称含有囚犯在阿联酋*中遭到折磨的“秘密”,点击文中链接即可查看。曼苏尔觉得此事蹊跷,把线索提供给了公民实验室,公民实验室从链接顺藤摸瓜,挖出了“幕后黑手”NSO Group。
曼苏尔收到的两条短信
据江湖传言,一直盯着iOS系统的黑客们似乎知道有这种漏洞的存在,但在Lookout 与公民实验室发布研究报告之前,从未有人亲眼见过这个漏洞的存在。世界著名漏洞军火商 Zerodium 也曾花100w刀成功收购过类似的漏洞,但不知道是否与此次报告中的漏洞有关。
雷锋网在第一时间采访到了国内* iOS 越狱团队盘古的核心成员 DM557(陈晓波),他们也是目前全球唯一(公开表示)拥有越狱iOS 10 Beta 的团队。
DM557 为我们还原了这种“远程越狱”的全过程:
1、攻击者首先通过 SMS 短信把一个链接发送给目标任务,当目标任务点击链接之后,会访问攻击者的一个网站。
2、攻击者的网站上会放置一个针对 Mobile Safari 的攻击程序,这个程序中,包含了MobileSafari Javascript 引擎的一个 0day 漏洞。
3、攻击程序被执行之后,攻击者会通过浏览器获得手机的执行权限。此时攻击者的权限还只是被*在沙盒之内。
4、接下来,攻击者通过两个内核漏洞(一个内核信息泄露漏洞+一个内核代码执行漏洞)获得内核执行权限。
5、获得内核执行权限后,攻击者就完成了手机越狱。这时他会关闭一些iOS的安全保护机制,比如开启rootfs的读写,关闭代码签名等等。
6、完成攻击之后,入侵者就成为了手机的“主人”,可以实现对手机通信、流量的全面监听。
通过漏洞可获取的信息图示
另外,作为越狱大神,DM557 也没有吝惜对这种越狱的赞赏之情。:
这个 JavaScript 漏洞是可以在系统开机的时候攻击iOS系统。也就是说系统重启的时候,还会走一遍攻击流程,这有点类似之前的“完美越狱”。
雷锋网(公众号:雷锋网)也采访到了专注 iOS 安全研究的 360 涅槃团队负责人高雪峰,他告诉雷锋网,
在 iOS 的早期,远程越狱是曾经实现过的,但是上一次有黑客团队实现对 iOS 的远程越狱,还是 iOS 4.3.3时代。 黑客 comex 发布的远程越狱工具,在Safari浏览器访问
http://www.jailbreakme.com 即可越狱。(感兴趣的童鞋可以戳进去怀旧一下,如果你真的还在用 iOS 4.3.3,也可以尝试一下越狱。。。)
iOS 4.3.3,已经是2011年的往事了。高雪峰强调:
iOS 在每一次大版本的升级中,几乎都会加入一个非常有力的安全防护机制,如今五年过去,远程越狱 iOS 的难度成几何数级增长,尤其是 iOS 7 之后,这种级别的漏洞几乎绝迹,所以远程越狱的难度根本不能同日而语。
意大利小子 luca 曾经放出过一段视频,是通过safari越狱 iOS 9.3.2,但是在市面上是没有的。
【CVE-2016-4655 CVE-2016-4656 CVE-2016-4657 分别为webkit漏洞,用户点击漏洞触发;内核信息泄露漏洞;内核内存损坏漏洞,相结合达到突破iOS系统权限/图片由 360 涅槃团队提供】
盘古团队大牛 DM557 说:
这三个 0Day 漏洞的质量极高,在这件事被曝光出来以前,远程越狱攻击最新的 iOS 系统就是一个传说。我不觉得这是个远程越狱攻击这么简单了,这就是一个针对最新 iOS 手机的远程 APT 攻击了。(APT:高级持续性威胁,一般是国家间或国际公司间为了特定目标而持续攻击的*黑客组织所为。)
其实,就在这个漏洞曝光前,盘古团队也发布了针对移动设备 APT 的检测工具,感兴趣的童鞋可以戳 http://pwnzen.com/apt.html
高雪峰还提到了一个有趣的背景,在今年8月美国举行的黑客*会议 BlackHat 上,苹果的安全研究员刚刚提出对提交 iOS 漏洞的奖励机制,一个 iOS 漏洞最高可以获得20万美金的奖励。
但是对于这种远程漏洞,苹果并没有奖励计划。原因是这种漏洞破坏力太大,用在黑产之中,可以获得难以想象的巨大利益,所以苹果根本没有奢望有人会把这样的漏洞提交给自己。
总结来说,在 iOS 的世界里,已经存在了一种凶狠的“瘟疫”,可以分分钟让你的 iPhone 天塌地陷。然而,幸亏我们已经拥有了抵挡这种“瘟疫”的疫苗。这就是 iOS 9.3.5。只要轻轻点击升级系统,就可以从这片恐怖的危机海洋中上岸。
然而,谁又能知道,是否还有和“三叉戟”一样凶残的漏洞正在地下涌动,在人们猝不及防的时候,再次席卷世界呢?