買不起瑪莎拉蒂，最次也要被瑪莎拉蒂撞死。

這個(gè)無厘頭的愿望，仔細(xì)想想竟然好有道理——那些搶著上王思聰?shù)墓?jié)目，被“老公”花式鞭撻的網(wǎng)紅們，臉上都浮現(xiàn)出享受的神情。

好，作為一個(gè)嚴(yán)肅的媒體，雷鋒網(wǎng)宅客頻道告訴你：其實(shí)，每個(gè)人，都有，被瑪莎拉蒂撞死的機(jī)會(huì)。

因?yàn)樵谀愕?iPhone 上，曾經(jīng)存在過一個(gè)“瑪莎拉蒂”般的神級(jí)漏洞——三叉戟。

為什么用瑪莎拉蒂來比喻三叉戟？他們有三個(gè)共同點(diǎn)：

1、瑪莎拉蒂價(jià)值百萬人民幣，三叉戟漏洞同樣價(jià)值百萬，美元。

2、有幸被三叉戟漏洞或瑪莎拉蒂“碾壓”的人，都是祖墳冒青煙的大咖。

3、我回車庫看了一下，其實(shí)瑪莎拉蒂的標(biāo)志就是三叉戟。

想想，你的 iPhone 上曾經(jīng)有一套可以換來瑪莎拉蒂的漏洞，而你卻苦逼地每天搬磚。天啊，即將過去的 2016 就是這么瘋狂。

年關(guān)歲末，我們來聊聊三叉戟漏洞的狗血故事吧。

公公叫完婆婆叫，累覺不愛的 iOS 工程師

故事還是從盤古說起吧。不是盤古開天，是越獄大神盤古。

2016年7月，蘋果正在哼著小曲準(zhǔn)備一個(gè)多月后 iPhone7 和 iOS 10 的重磅發(fā)布。iOS 9 的版本此時(shí)完美收官在看上去很吉利的 iOS 9.3.3 上。

歲月靜好。

24號(hào)，周日的午后，盤古團(tuán)隊(duì)靜靜地在網(wǎng)上掛出了越獄工具，通吃 iOS 9.2-iOS 9.3.3。

腦補(bǔ)一下：大洋彼岸，蘋果的工程師。

十多天之后，iOS 9.3.4 推送，蘋果咬著牙告訴所有的用戶：強(qiáng)烈建議升級(jí)，否則要粗大事！

這個(gè)工程師奮戰(zhàn)了無數(shù)個(gè)晝夜寫出的打死不改版的 iOS 9.3.4，看來只做了一件事，就是修復(fù)盤古越獄使用的漏洞。

雙眼通紅的工程師，以為自己終于可以睡個(gè)好覺，靜待 iOS 10 了。

然而結(jié)果是，過了十天之后，蘋果又雙叒推出了 iOS 9.3.5。。。鬼知道在這十天里工程師們經(jīng)歷了什么。

這十天里，發(fā)生了另一個(gè)精彩絕倫的故事。

民權(quán)斗士生擒“瑪莎拉蒂”

這個(gè)故事雷鋒網(wǎng)宅客頻道（微信搜索：宅客頻道）要從阿聯(lián)酋人權(quán)斗士曼蘇爾——曼大爺說起。

曼大爺有一臺(tái) iPhone6。一天，他突然收到兩條短信，對(duì)方寫道：“我手里有些“猛料”，阿聯(lián)酋監(jiān)獄存在虐囚事件！詳細(xì)鏈接附在后面?！?/p>

然后，是一串短鏈接。

【曼大爺收到的信息】

你以為曼大爺會(huì)焦急地點(diǎn)擊查看嗎？圖樣。

實(shí)際上，曼大爺可不是軟柿子，他就像阿聯(lián)酋的唐僧，每天被各路妖孽惦記。被算計(jì)是他的日常，在過去的日子里，他曾經(jīng)數(shù)次收到過釣魚鏈接攻擊。所以，這次他想都沒想，就把短信轉(zhuǎn)給了好基友：加拿大公民實(shí)驗(yàn)室(Citizen Lab)的研究人員。

沒錯(cuò)，這一串鏈接，正是用來攻擊曼大爺?shù)?。只是，所有的安全研究員都沒想到，這個(gè)攻擊所利用的漏洞，竟然是如此勁爆。

簡(jiǎn)單說吧，你只要點(diǎn)擊了這個(gè)鏈接，你的手機(jī)就對(duì)黑客透明了。對(duì)方甚至能透過手機(jī)，聞到你的呼吸。

公民實(shí)驗(yàn)室和合作伙伴美國網(wǎng)絡(luò)安全公司 Lookout Security 驚出了一身冷汗。因?yàn)檫@組漏洞在理論上來說，可以用來控制全世界的 iPhone。

曼大爺無心插柳，不小心發(fā)現(xiàn)了 iPhone 史上最大的漏洞，從黑市的價(jià)格來看，至少值幾百萬美元，足夠買五臺(tái)瑪莎拉蒂。

安全研究員決定把這個(gè)勁爆的消息告訴蘋果，這就是 iOS 9.3.5 的來由。這組漏洞被命名為三叉戟。

一邊是傲嬌的曼大爺，另一邊是哭暈在廁所的黑客。

【曼大爺（曼蘇爾）和試圖搞他的組織們】

NSO

這套漏洞的主人是以色列網(wǎng)絡(luò)軍火商 NSO Group，說它是以色列的公司并不準(zhǔn)確，雖然 NSO 運(yùn)營在以色列，但位于舊金山的私募股本公司Francisco Partners在2014年以1.2億美元的價(jià)格收購了 NSO 大部分的股權(quán)。

在 LinkedIn 上，可以找到這家公司的一些信息。資料顯示這是一家“互聯(lián)網(wǎng)安全軟件解決方案和安全研究領(lǐng)域的獨(dú)特公司”、“公司主要負(fù)責(zé)移動(dòng)和PC環(huán)境中的一些獨(dú)特軟件的開發(fā)”以及“公司還專攻移動(dòng)和PC控制環(huán)境下一些搶手解決方案”。

看起來都是些廢話，不過在資料里公司的“專攻項(xiàng)目”還是泄露了天機(jī)：互聯(lián)網(wǎng)安全、移動(dòng)安全、網(wǎng)絡(luò)威脅以及滲透測(cè)試等。

簡(jiǎn)單說來，NSO 就是開發(fā)高科技間諜工具的公司。

對(duì)于玩“入侵”的公司，漏洞就是他們的“核心科技”。而這組可以用一條鏈接來控制 iPhone 的漏洞，無疑是漏洞中的皇冠。對(duì)于 NSO 來說，這不僅是一組可以制造間諜工具的漏洞，而是他們江湖地位的基石。

腦補(bǔ)一下 NSO 老板叼著煙卷和某國官員談生意的場(chǎng)景?！拔覀兪掷锏穆┒?，可以讓全國的 iPhone 都在你的掌控中，想偷聽誰說話就偷聽誰說話，想打開誰的攝像頭就能打開誰的攝像頭！沒事還能看美女自拍下載 10G 資源神馬的，順著這條街你出去問問，誰還能辦到？”

【電影《1984》中，老大哥無時(shí)無刻不在看著你】

iOS 9.3.5，讓 NSO 一夜夢(mèng)碎。用瑪莎拉蒂撞人，不但沒成功，車還被罰沒了。

這個(gè)漏洞究竟有多吊？

雖然看了這么多，但你可能還沒 get 到三叉戟漏洞的逆天之處。

關(guān)鍵詞是：“遠(yuǎn)程攻擊”。

雷鋒網(wǎng)宅客頻道（微信搜索宅客頻道）先來科普一下。對(duì)于 iPhone 來說，越獄和攻擊在原理上是一碼事，都是利用漏洞破壞掉 iOS 的安全機(jī)制。只不過，越獄之后，iOS 的掌控權(quán)在機(jī)主手里；而被攻擊之后， iOS 的掌控權(quán)在黑客手里。

如此說來，凡是玩過越獄的童鞋，其實(shí)都對(duì)自己的手機(jī)發(fā)起過“攻擊”。你可能記得，無論是用盤古還是太極的越獄工具，都需要把手機(jī)連接到電腦上。這是因?yàn)?，隨著幾年的發(fā)展迭代，iOS 的安全機(jī)制已經(jīng)非常健全，雖然越獄大牛們可以做到利用漏洞干掉 iOS 的防御系統(tǒng)，但是這種攻擊只能在本地發(fā)起。簡(jiǎn)單說來，攻擊者必須能夠接觸到被攻擊手機(jī)，還要有充足的時(shí)間連接到電腦上運(yùn)行越獄程序。

這其實(shí)不太酷。在我們的想象中，真正的攻擊應(yīng)該是羽扇綸巾的黑客輕輕點(diǎn)擊鼠標(biāo)，千里之外檣櫓灰飛煙滅。

在三叉戟漏洞爆出之后，360涅槃團(tuán)隊(duì)的高雪峰告訴雷鋒網(wǎng)宅客頻道：

iOS 在每一次大版本的升級(jí)中，幾乎都會(huì)加入一個(gè)非常有力的安全防護(hù)機(jī)制，如今五年過去，遠(yuǎn)程越獄 iOS 的難度成幾何數(shù)級(jí)增長(zhǎng)，尤其是 iOS 7 之后，這種級(jí)別的漏洞幾乎絕跡，所以遠(yuǎn)程越獄的難度根本不能同日而語。

意大利小子 luca 曾經(jīng)放出過一段視頻，是通過safari越獄 iOS 9.3.2，但是在市面上是沒有的。

至于上一次有人公開發(fā)布遠(yuǎn)程越獄 iOS 工具，還是在五年以前。

高雪峰說：

在 iOS 的早期，遠(yuǎn)程越獄是曾經(jīng)實(shí)現(xiàn)過的，但是上一次有黑客團(tuán)隊(duì)實(shí)現(xiàn)對(duì) iOS 的遠(yuǎn)程越獄，還是 iOS 4.3.3時(shí)代。 黑客 comex 發(fā)布的遠(yuǎn)程越獄工具，在Safari瀏覽器訪問http://www.jailbreakme.com 即可越獄。

所以，在三叉戟之前，遠(yuǎn)程攻擊 iOS 9.X，是一個(gè)江湖傳說?！爸髁骱诳汀眰兓蚨嗷蛏傧嘈胚@種漏洞的存在，但是從未有人親眼見過這個(gè)“神器”。世界著名漏洞軍火商 Zerodium 曾經(jīng)懸賞100萬美金收購遠(yuǎn)程攻擊 iPhone 的漏洞，據(jù)說有黑客真的成功賣給了他們。這也證明了世界上確實(shí)還存在這樣逆天的漏洞。

NSO聯(lián)合創(chuàng)始人Omri Lavie 曾經(jīng)接受軍事貿(mào)易國防新聞刊物的采訪，他說：

我們完全像是幽靈，對(duì)于攻擊目標(biāo)來說，我們是完全透明的，不會(huì)留下任何痕跡。

在黑客眼里，這真是一句完美的贊嘆。

老司機(jī)解剖“三叉戟”

先科普一下，iOS 的安全級(jí)別大致分為應(yīng)用層、系統(tǒng)層和內(nèi)核層（層級(jí)越高，權(quán)限越大）。而如果想要越獄一部 iPhone，實(shí)際上是拿到內(nèi)核權(quán)限。這需要逐層突破層層守衛(wèi)，所以越獄往往需要幾個(gè)漏洞層層配合才能實(shí)現(xiàn)。

實(shí)際上，三叉戟漏洞由三個(gè)漏洞組成。（不然為什么要叫三叉戟呢？）

漏洞1：遠(yuǎn)程突破iOS的Safari瀏覽器漏洞；

漏洞2：使內(nèi)核信息泄露的漏洞；

漏洞3：用于在內(nèi)核中執(zhí)行任意代碼的漏洞。

【蘋果在 iOS 9.3.5 升級(jí)中給出的三叉戟漏洞詳情】

盤古的越獄大神們?cè)诘谝粫r(shí)間解剖了“三叉戟”，核心成員 DM（陳曉波）為我們還原了這種“遠(yuǎn)程越獄”的全過程：

1、攻擊者首先通過 SMS 短信把一個(gè)鏈接發(fā)送給目標(biāo)任務(wù)，當(dāng)目標(biāo)任務(wù)點(diǎn)擊鏈接之后，會(huì)訪問攻擊者的一個(gè)網(wǎng)站。

2、攻擊者的網(wǎng)站上會(huì)放置一個(gè)針對(duì) Mobile Safari 的攻擊程序，這個(gè)程序中，包含了MobileSafari Javascript 引擎的一個(gè) 0day 漏洞。

3、攻擊程序被執(zhí)行之后，攻擊者會(huì)通過瀏覽器獲得手機(jī)的執(zhí)行權(quán)限。此時(shí)攻擊者的權(quán)限還只是被囚禁在沙盒之內(nèi)。

4、接下來，攻擊者通過兩個(gè)內(nèi)核漏洞（一個(gè)內(nèi)核信息泄露漏洞+一個(gè)內(nèi)核代碼執(zhí)行漏洞）獲得內(nèi)核執(zhí)行權(quán)限。

5、獲得內(nèi)核執(zhí)行權(quán)限后，攻擊者就完成了手機(jī)越獄。這時(shí)他會(huì)關(guān)閉一些iOS的安全保護(hù)機(jī)制，比如開啟 rootfs 的讀寫，關(guān)閉代碼簽名等等。

6、完成攻擊之后，入侵者就成為了手機(jī)的“主人”，可以實(shí)現(xiàn)對(duì)手機(jī)通信、流量的全面監(jiān)聽。

講真，這組漏洞之完美，讓 DM 也難掩贊嘆：

這個(gè) JavaScript 漏洞是可以在系統(tǒng)開機(jī)的時(shí)候攻擊 iOS 系統(tǒng)。也就是說系統(tǒng)重啟的時(shí)候，還會(huì)走一遍攻擊流程，這有點(diǎn)類似之前的“完美越獄”。

【iOS 9.3.5 更新】

從“瑪莎拉蒂”到“一汽夏利”

蘋果，用升級(jí) iOS 的方式官方宣告了三叉戟的存在。

在升級(jí)提示中，蘋果寫道：

本次更新提供了重要的安全性更新，推薦所有用戶安裝。

這句簡(jiǎn)單的描述，湮沒了所有可能無法追尋的真相。

三叉戟漏洞在“野生”環(huán)境中存在了多久？

三叉戟漏洞究竟被多少人掌握？

三叉戟漏洞曾經(jīng)被哪些人使用，又對(duì)誰做了什么？

這些問題，即使是 NSO 都無法準(zhǔn)確回答。一位 NSO 的某前雇員在接受《福布斯》采訪時(shí)說的話，也許能夠讓你管中窺豹：

我知道很多有關(guān)NSO產(chǎn)品的事，也知道它如何運(yùn)作，但我沒法公布這些消息。如果我說了，會(huì)失去很多東西。公司只會(huì)將產(chǎn)品，賣給授權(quán)的政府機(jī)構(gòu)，公司貿(mào)易行為完全符合出口管制法律法規(guī)。

關(guān)于這個(gè)漏洞的鋒芒，還有一些公開的事實(shí)。

2015年，巴拿馬當(dāng)?shù)孛襟w報(bào)道，巴拿馬政府購買 NSO 的間諜程序，為此給 NSO 支付了1060萬澳大利亞元，用以“針對(duì)移動(dòng)設(shè)備信息的收集”。

毫不夸張地說，只要你有一部 iPhone，就有可能是三叉戟的受害者。而且，你可能永遠(yuǎn)無法知道自己是否被攻擊過，或正在被攻擊。

然而，從另一個(gè)角度來說：最可怕的漏洞，往往是又是最安全的。

例如：核武器擁有最狂暴的殺傷力，但普通人死于核武器的概率，遠(yuǎn)遠(yuǎn)低于死于車禍的概率。

“瑪莎拉蒂級(jí)別的漏洞，不會(huì)輕易用在 Diors 身上。”

雖說滿滿負(fù)能量，但事實(shí)如此。

如果你不是人權(quán)斗士，或者異見人士，很可能如空氣一樣被忽視。頂尖黑客和各國政府依靠常識(shí)和理智，讓三叉戟這個(gè)怪獸和這個(gè)世界維持著精妙的平衡。但是在蘋果推出 iOS 9.3.5 的一瞬間，世界的格局發(fā)生了徹底的顛覆。

因?yàn)閺倪@一刻開始，三叉戟的原理不再是秘密，幾乎一個(gè)腳本小子都可以遠(yuǎn)程攻擊一部未升級(jí)的 iPhone。至此，難得一見的“瑪莎拉蒂”變成了遍地開花的“一汽夏利”。

【知乎用戶arju對(duì)于三叉戟漏洞的看法】

核武器按鈕掌握在總統(tǒng)手里，并不危險(xiǎn)。當(dāng)暴民沖進(jìn)總統(tǒng)府搶到了核武器按鈕，才是末日。

那天早晨，你坐在餐桌前收到 iOS 9 的收官之作 9.3.5 推送時(shí)，一定沒有想到，氤氳的咖啡霧氣背后，是一個(gè)驚心動(dòng)魄的末日故事。

蘋果的“漏洞戰(zhàn)爭(zhēng)”

即使安全體系再完善，總有可以攻破的方法。

世界上絕不可能僅有一個(gè)三叉戟。

面對(duì)這個(gè)事實(shí)，蘋果可以選擇漠視，就像2016年之前他們做的那樣；蘋果也可以選擇行動(dòng)，就像現(xiàn)在他們做的那樣。

高雪峰說，在三叉戟爆發(fā)之前幾周，在美國舉行的黑客頂級(jí)會(huì)議 BlackHat 上，蘋果的安全研究員剛剛預(yù)告了蘋果將要推出的，對(duì)提交 iOS 漏洞的獎(jiǎng)勵(lì)機(jī)制“Apple Bounty Program”，一個(gè) iOS 漏洞最高可以獲得20萬美金的獎(jiǎng)勵(lì)。

三叉戟爆發(fā)之后，付出代價(jià)的蘋果加快了行動(dòng)。這就是9月那場(chǎng)著名的“鴻門宴”。

蘋果低調(diào)地向全世界 iOS 黑客大牛發(fā)出邀請(qǐng)函，邀請(qǐng)他們到位于庫比蒂諾的蘋果總部與蘋果高層見面。有關(guān)這次會(huì)面的一切，蘋果都和黑客們簽訂了保密協(xié)議。

從泄露的受邀名單來看，這些越獄黑客都是響當(dāng)當(dāng)?shù)娜宋铮?strong>包括意大利黑客 Luca Todesco、德國安全專家 " 樹人 "Stefan Esser（i0n1c）、神作 JailbreakMe 的作者 Nicholas Allegra（comex）、加拿大年輕黑客 iH8sn0w 、中國的盤古團(tuán)隊(duì)、360涅槃團(tuán)隊(duì)、騰訊科恩實(shí)驗(yàn)室等。

某位參加了會(huì)面的大牛表示，這次會(huì)面雖然沒有外界猜測(cè)的那么神秘，但是卻昭示了蘋果態(tài)度的轉(zhuǎn)變：

之前他們相對(duì)傲慢，認(rèn)為自己的安全團(tuán)隊(duì)很厲害，不需要你們幫我發(fā)現(xiàn)。而這次和我們會(huì)面主要目的是放低姿態(tài)，認(rèn)可你們這些人，幫我積極發(fā)現(xiàn)問題，共同促進(jìn)蘋果安全。

另外，這次“鴻門宴”上， 蘋果還正式發(fā)布了“Apple Bounty Program”賞金計(jì)劃，但是只有參加了這次會(huì)面的黑客，才有資格提交漏洞獲取賞金。

蘋果第一次放下身段，對(duì)越獄大神們笑臉相迎。但可能只有上帝才知道，這些越獄大神背在身后的手上，是不是真的握有另一個(gè)三叉戟。而那些仍舊飄蕩在法外之地的“三叉戟”們，究竟掌握在誰的手里？

天平兩端，一邊是沉甸甸的金錢和閃光欲望。另一邊，是脆弱的良知。

2016年，這架天平傾覆了一次。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。