盤古，中國最早越獄 iOS 的黑客團(tuán)隊(duì)。

曾經(jīng)無數(shù)人在屏幕前徹夜刷新，期盼他們越獄工具的放出。幾年間，盤古的幾位核心成員已經(jīng)從小鮮肉變成了老鮮肉，與此同時，眾多盤古的粉絲也已經(jīng)成為了中國移動安全的中堅(jiān)力量。對于他們所有人來說，MOSEC是一種精神故鄉(xiāng)。

MOSEC 的中文名字“移動安全技術(shù)峰會”聽起來不太性感，但是它卻是如假包換的盤古主場。2016年的7月1日，這群老黑客延續(xù)了盤古“一言不合，就用越獄說話”的風(fēng)格。毫無防備地放出 iOS 10 Beta 版越獄 Demo。

現(xiàn)場的掌聲中，好像都噴濺著黑客的血液。

雷鋒網(wǎng)獨(dú)家采訪到了盤古團(tuán)隊(duì)核心成員 OGC557，聽他講述了 MOSEC 和盤古團(tuán)隊(duì)的最新動向。

【MOSEC 現(xiàn)場，360 龔廣（畫右）展示利用漏洞查看 Wi-Fi 密碼，左為盤古團(tuán)隊(duì)成員陳小波】

iOS 10 的越獄有多難？

雷鋒網(wǎng)：

你們?yōu)槭裁磿?MOSEC 現(xiàn)場展示 iOS 10 Beta 版的越獄視頻？

OGC557：

其實(shí)這是我們的臨時決定。我們本來想拿 9.3.3 的越獄去秀一下，但是就在幾周前的 WWDC 上，蘋果發(fā)布了 iOS 10，我們研究了一下發(fā)現(xiàn)，本來我們準(zhǔn)備好的用來越獄的一套漏洞，其中有兩三個在 iOS 10 上被干掉了。我們覺得不甘心，雖然時間很緊張，但是我們?nèi)匀怀晒Φ卣业搅诵碌穆┒?，完成?iOS 10 Beta 1 版的越獄。在現(xiàn)場放這個視頻，目的很簡單，就是告訴大家盤古團(tuán)隊(duì)仍然在努力，我們有能力在最新的系統(tǒng)上獲得想要的東西。

雷鋒網(wǎng)：

在 iOS 10 上，蘋果的安全機(jī)制做了哪些升級？

OGC557：

現(xiàn)在蘋果只發(fā)布了 iOS 10 Beta 1 版。根據(jù)現(xiàn)有的情況來看，（安全機(jī)制的）外觀上沒有明顯的提升，但是在內(nèi)核的利用，安全機(jī)制的修補(bǔ)還有沙盒的安全性上做了改進(jìn)。比如說我們之前準(zhǔn)備的漏洞，有一個是用于沙盒逃逸的，在9.3.3的安全機(jī)制上這個漏洞起作用，而在 iOS 10 上就用不了了。

但是要知道，這只是第一個測試版，在以后的測試版或正式版中，蘋果有可能做出安全性的重大升級，這件事在以前也經(jīng)常發(fā)生。

【iOS 10 Beta 1 越獄安裝Cydia /圖片由盤古團(tuán)隊(duì)提供】

雷鋒網(wǎng)：

既然如此，iOS 10 越獄到底有多難呢？

OGC557：

有一個意大利小伙子（Luca Todesco）最近一直在放 iOS 9.3.X 的越獄圖片，但是最近他在 Twitter 上說，他掌握的重要漏洞在 iOS 10 上都廢了。

目前來看，外界沒有人放出消息，說在 iOS 10 上取得突破，所以我也不知道其他人的感覺怎么樣。不過因?yàn)槲覀冏约旱募夹g(shù)已經(jīng)突破了，所以感覺不是那么難。

雷鋒網(wǎng)：

盤古團(tuán)隊(duì)計(jì)劃發(fā)布 iOS 10 的越獄工具嗎？

OGC557：

我們目前還沒有發(fā)布越獄工具的計(jì)劃。因?yàn)槟阒?，有些漏洞不單單可以用來越獄，還可以在我們的產(chǎn)品上實(shí)現(xiàn)對客戶安全保護(hù)的價值。

公布一個越獄工具，意味著其他的研究人員，包括蘋果都可以看到我們使用了什么漏洞。雖然我們在 iOS 越獄和 iOS 安全產(chǎn)品中使用的是兩套不同的漏洞，但是公布一個漏洞很可能給別的黑客啟發(fā)，暴露了我們其他的漏洞。這是我們謹(jǐn)慎的原因。

從目前世界上的情況來看，我們沒有壓力，因?yàn)閷κ值倪M(jìn)度看起來并不樂觀，所以我們會等等看。

雷鋒網(wǎng)：

除了你們，還有誰有實(shí)力越獄呢？

OGC557：

我剛才說的意大利小伙一直從事iOS相關(guān)的研究，并且公布過 Yalu 越獄，他可能有希望。國內(nèi)的話科恩實(shí)驗(yàn)室曾經(jīng)在mobile pwn2own中攻破過iPhone，對iOS/macOS的安全也很有研究。

MOSEC 上，黑客大神們說了神馬？

雷鋒網(wǎng)：

這是盤古第二年舉辦 MOSEC（移動安全技術(shù)峰會）了，相比第一次有什么不同？

OGC557：

直觀來看，就是規(guī)模翻了一倍。而且我們的特色就是移動安全領(lǐng)域技術(shù)類的頂尖干貨，所以技術(shù)水準(zhǔn)是非常高的。

雷鋒網(wǎng)：

技術(shù)大牛都分享了哪些頂尖技術(shù)，給我們講一講吧。

OGC557：

美國黑客 JL 的議題是 iOS 和 Android 的啟動安全機(jī)制分析。

iOS 系統(tǒng)啟動時，從引導(dǎo)開始就會對加載的東西進(jìn)行校驗(yàn)，保證每一步向下走都是安全的。甚至在引導(dǎo)階段，后面的代碼都是加密的，所以你根本無法看到它的固件是怎樣工作的。

當(dāng)然，在早期的 iOS 版本里，一些黑客曾經(jīng)發(fā)現(xiàn)過 Bootrom 的漏洞，也就是突破了這條啟動鏈。這樣的突破可以在最早的階段接管手機(jī)，甚至還沒到解鎖輸密碼這個步驟，手機(jī)就可以被我們接管了。你懂的。 

但是現(xiàn)在這種漏洞很難找到了，因?yàn)閱与A段的流程不會很復(fù)雜，只是簡單的解析、加載、校驗(yàn)，存在隱患的概率不高。不過最近在 Android 系統(tǒng)內(nèi)，引進(jìn)了類似的安全鏈機(jī)制。對于 Android 系統(tǒng)來說，這個功能是新加入的，所以還可能存在一些漏洞。

他的議題就是詳細(xì)介紹這兩者的安全機(jī)制的異同，啟發(fā)其他黑客做進(jìn)一步的研究。

另外還有科恩實(shí)驗(yàn)室的議題，他們展示了使用一個 Android 系統(tǒng)的 0Day 漏洞。

這個漏洞是他們最新發(fā)現(xiàn)的。從他們的演講來看，這個漏洞的質(zhì)量非常高，應(yīng)該是可以通殺所有的 Android 系統(tǒng)。這個漏洞已經(jīng)報(bào)給了廠商，但是由于谷歌還沒有放出補(bǔ)丁，所以他們并沒有對漏洞利用的詳情進(jìn)行講解。

雷鋒網(wǎng)：

說說你們壓軸出場的議題吧。

OGC557：

我們發(fā)現(xiàn)了蘋果系統(tǒng)機(jī)制的一些新漏洞。某些協(xié)處理器的固件并沒有被簽名保護(hù)，所以我們可以通過這些漏洞，構(gòu)造畸形的代碼，從而控制協(xié)處理器。我們也在研究這里面有沒有很好的利用方法，可以實(shí)現(xiàn)系統(tǒng)層面的利用，例如越獄。

我們還發(fā)現(xiàn)了蘋果底層數(shù)據(jù)共享機(jī)制的漏洞。如果你用系統(tǒng)的相機(jī) App 拍照，其他 App 其實(shí)可以在不經(jīng)過你允許的情況下，在你拍照的一瞬間從內(nèi)存鏡像里把它拿到，相當(dāng)于它可以把你拍攝的照片直接偷出來。這會造成重大的隱私問題。我們做了驗(yàn)證，任何一個 App 都可以實(shí)現(xiàn)這樣的監(jiān)視功能，還能大搖大擺地通過 AppStore 的驗(yàn)證。

當(dāng)然，最后還有我們的 iOS 10 越獄秀。

雷鋒網(wǎng)：

聽說現(xiàn)場來了幾個神秘的觀眾。

OGC557：

沒錯，有兩位是從以色列來的，他們來自剛剛幫助 FBI 破解了那部 iPhone 5c 的 Cellebrite。漏洞對他們來說是非常重要的，他們也熟悉我們做的事情 ，所以他們這次自己注冊過來了。

另外還有一隊(duì)人來自蘋果公司，他們當(dāng)然很關(guān)心我們在做什么，于是提前打招呼，說他們要來看看。

雷鋒網(wǎng)：

蘋果的人看到你們越獄 iOS 10 的時候，是什么表情。

OGC557：

哈哈哈哈哈哈。。。

【盤古團(tuán)隊(duì)核心成員TB】

盤古在研究什么秘密武器？

雷鋒網(wǎng)：

除了越獄之外，盤古最近還在研究什么秘密武器呢？

OGC557：

我最近在做一個“iOS 設(shè)備安全監(jiān)測系統(tǒng)”，這個系統(tǒng)可以檢測你的 iPhone 是否被人黑掉或者放置了惡意的東西。這算是我們第一個用于銷售的產(chǎn)品，針對企業(yè)和政府的需求。例如鑒定領(lǐng)導(dǎo)的手機(jī)到底安不安全。

雷鋒網(wǎng)：

蘋果系統(tǒng)被黑的可能性大嗎？

OGC557：

去年的 XcodeGhost 事件爆發(fā)，大家都注意到了蘋果系統(tǒng)并不安全。有很多隱藏得比較深的攻擊在里面。而且蘋果對于 AppStore 上的 App 驗(yàn)證存在一個缺陷。有很多人已經(jīng)實(shí)現(xiàn)了用一個經(jīng)過蘋果驗(yàn)證的 App 在后臺下載木馬的攻擊方法。

雷鋒網(wǎng)：

這個系統(tǒng)怎樣識別攻擊行為呢？

OGC557：

一般來說，如果一個 App 想要有惡意行為，一定要在系統(tǒng)里面提權(quán)，然后才可以查看“別人”的東西。從系統(tǒng)層看，這種操作一定會留下痕跡。我們會利用自己掌握的漏洞，對文件的完整性進(jìn)行校驗(yàn)，對進(jìn)程進(jìn)行檢查，對簽名進(jìn)行檢查。這樣就可以識別出攻擊行為。由于我們是基于簽名校驗(yàn)和行為分析，所以能夠發(fā)現(xiàn)未知的威脅。

【iOS 設(shè)備安全監(jiān)測系統(tǒng) 示意圖/盤古團(tuán)隊(duì)提供】

越獄那些事

雷鋒網(wǎng)：

再說說越獄吧，盤古的核心團(tuán)隊(duì)有幾個人？你們?nèi)绾畏止ぃ?/p>

OGC557：

我們的核心團(tuán)隊(duì)有六個人，TB（韓爭光），DM557（陳小波），INT80（王鐵磊），windknown（徐昊），曾半仙和我。每次進(jìn)行研究的時候都是有分工的。比如正好你在這一塊發(fā)現(xiàn)漏洞，我在那一塊挖掘漏洞。最后大家拼裝起來，一起測試、適配，才能實(shí)現(xiàn)最后的越獄。

現(xiàn)在我們基本不會熬夜，除非有重要的節(jié)點(diǎn)，例如馬上要發(fā)布越獄。

雷鋒網(wǎng)：

說說你印象深刻的越獄故事吧。

OGC557：

去年這個時候，我們連著熬了兩個禮拜的夜，就是為了發(fā)布 iOS 8.4 的越獄，眼看距離我們最后發(fā)布只有兩天時間了，太極團(tuán)隊(duì)搶先發(fā)布了他們的越獄工具。同樣的 iOS 版本，如果有兩個團(tuán)隊(duì)同時放出越獄工具，是對漏洞的浪費(fèi)，所以這意味著我們趕工兩周的工具就不能發(fā)布了。那次我們真的很郁悶。但是我們還不能休息，需要馬上對他們的越獄工具做技術(shù)跟蹤，看看有沒有撞洞（使用和自己相同的漏洞）。幸好那次一個洞都沒有撞，我們的武器依然可以在接下來的版本里使用。

雷鋒網(wǎng)：

你們手里究竟有多少漏洞？

OGC557：

我們的儲備還是挺豐富的。如果蘋果封堵了現(xiàn)在的漏洞，我們還是可以用另一套漏洞進(jìn)行越獄。我們手里至少有兩套漏洞。

MOSEC：移動安全技術(shù)峰會，由盤古團(tuán)隊(duì)和POC主辦，關(guān)注移動安全領(lǐng)域的頂尖技術(shù)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。