昨天,苹果猝不及防地发布了 iOS 9.3.5,在升级说明中,有且只有一条:提供了重要的安全性更新,推荐所有用户安装。
![]()
没想到,这次低调的升级却牵出了 iOS 历史上最大的漏洞。
先科普一下,iOS 的安全级别大致分为应用层、系统层和内核层(层级越高,权限越大)。而如果想要越狱一部 iPhone,实际上是拿到内核权限。这需要逐层突破层层守卫,所以越狱往往需要几个漏洞层层配合才能实现。
早在苹果发布此次安全性更新的前一天,以曝光大规模监视任务为己任的,多伦多蒙克全球事务学院的公民实验室就发布了关于发现苹果 0Day 漏洞的详细研究报告,并将它们命名为“三叉戟”漏洞。这组漏洞究竟有多牛X呢?
1、这组漏洞全部是 0Day 漏洞。即在曝光之前,除了漏洞的发现者,没有任何人知道这个漏洞的存在;
2、用户只需要轻轻点击黑客发来的的链接,手机就会被远程越狱。黑客瞬间获得手机的最高权限;
3、利用最高权限,黑客可以远程对用户的iPhone进行操作、控制,查看手机摄像头、窃听用户谈话和录音、查看用户的应用信息,可以说是为所欲为。
讲真,利用一个链接,就可以彻底控制你的 iPhone,这种级别的 iOS 漏洞,一直是个江湖传说。人们经常说起,但就是没有人见过。
那么这组漏洞究竟为神马被曝光出来呢?故事的起因是这样的:
最初给公民实验室提供线索的是阿拉伯人权斗士曼苏尔。8月10日与11日,曼苏尔收到了两条声称含有囚犯在阿联酋监狱中遭到折磨的“秘密”,点击文中链接即可查看。曼苏尔觉得此事蹊跷,把线索提供给了公民实验室,公民实验室从链接顺藤摸瓜,挖出了“幕后黑手”NSO Group。
![]()
曼苏尔收到的两条短信
据江湖传言,一直盯着iOS系统的黑客们似乎知道有这种漏洞的存在,但在Lookout 与公民实验室发布研究报告之前,从未有人亲眼见过这个漏洞的存在。世界著名漏洞军火商 Zerodium 也曾花100w刀成功收购过类似的漏洞,但不知道是否与此次报告中的漏洞有关。
雷锋网在第一时间采访到了国内顶级 iOS 越狱团队盘古的核心成员 DM557(陈晓波),他们也是目前全球唯一(公开表示)拥有越狱iOS 10 Beta 的团队。
DM557 为我们还原了这种“远程越狱”的全过程:
1、攻击者首先通过 SMS 短信把一个链接发送给目标任务,当目标任务点击链接之后,会访问攻击者的一个网站。
2、攻击者的网站上会放置一个针对 Mobile Safari 的攻击程序,这个程序中,包含了MobileSafari Javascript 引擎的一个 0day 漏洞。
3、攻击程序被执行之后,攻击者会通过浏览器获得手机的执行权限。此时攻击者的权限还只是被囚禁在沙盒之内。
4、接下来,攻击者通过两个内核漏洞(一个内核信息泄露漏洞+一个内核代码执行漏洞)获得内核执行权限。
5、获得内核执行权限后,攻击者就完成了手机越狱。这时他会关闭一些iOS的安全保护机制,比如开启rootfs的读写,关闭代码签名等等。
6、完成攻击之后,入侵者就成为了手机的“主人”,可以实现对手机通信、流量的全面监听。
![]()
