買不起瑪莎拉蒂，最次也要被瑪莎拉蒂撞死。

這個無厘頭的愿望，仔細想想竟然好有道理——那些搶著上王思聰?shù)墓?jié)目，被“老公”花式鞭撻的網(wǎng)紅們，臉上都浮現(xiàn)出享受的神情。

好，作為一個嚴肅的媒體，雷鋒網(wǎng)宅客頻道告訴你：其實，每個人，都有，被瑪莎拉蒂撞死的機會。

因為在你的 iPhone 上，曾經(jīng)存在過一個“瑪莎拉蒂”般的神級漏洞——三叉戟。

為什么用瑪莎拉蒂來比喻三叉戟？他們有三個共同點：

1、瑪莎拉蒂價值百萬人民幣，三叉戟漏洞同樣價值百萬，美元。

2、有幸被三叉戟漏洞或瑪莎拉蒂“碾壓”的人，都是祖墳冒青煙的大咖。

3、我回車庫看了一下，其實瑪莎拉蒂的標志就是三叉戟。

想想，你的 iPhone 上曾經(jīng)有一套可以換來瑪莎拉蒂的漏洞，而你卻苦逼地每天搬磚。天啊，即將過去的 2016 就是這么瘋狂。

年關(guān)歲末，我們來聊聊三叉戟漏洞的狗血故事吧。

公公叫完婆婆叫，累覺不愛的 iOS 工程師

故事還是從盤古說起吧。不是盤古開天，是越獄大神盤古。

2016年7月，蘋果正在哼著小曲準備一個多月后 iPhone7 和 iOS 10 的重磅發(fā)布。iOS 9 的版本此時完美收官在看上去很吉利的 iOS 9.3.3 上。

歲月靜好。

24號，周日的午后，盤古團隊靜靜地在網(wǎng)上掛出了越獄工具，通吃 iOS 9.2-iOS 9.3.3。

腦補一下：大洋彼岸，蘋果的工程師。

十多天之后，iOS 9.3.4 推送，蘋果咬著牙告訴所有的用戶：強烈建議升級，否則要粗大事！

這個工程師奮戰(zhàn)了無數(shù)個晝夜寫出的打死不改版的 iOS 9.3.4，看來只做了一件事，就是修復盤古越獄使用的漏洞。

雙眼通紅的工程師，以為自己終于可以睡個好覺，靜待 iOS 10 了。

然而結(jié)果是，過了十天之后，蘋果又雙叒推出了 iOS 9.3.5。。。鬼知道在這十天里工程師們經(jīng)歷了什么。

這十天里，發(fā)生了另一個精彩絕倫的故事。

民權(quán)斗士生擒“瑪莎拉蒂”

這個故事雷鋒網(wǎng)宅客頻道（微信搜索：宅客頻道）要從阿聯(lián)酋人權(quán)斗士曼蘇爾——曼大爺說起。

曼大爺有一臺 iPhone6。一天，他突然收到兩條短信，對方寫道：“我手里有些“猛料”，阿聯(lián)酋監(jiān)獄存在虐囚事件！詳細鏈接附在后面。”

然后，是一串短鏈接。

【曼大爺收到的信息】

你以為曼大爺會焦急地點擊查看嗎？圖樣。

實際上，曼大爺可不是軟柿子，他就像阿聯(lián)酋的唐僧，每天被各路妖孽惦記。被算計是他的日常，在過去的日子里，他曾經(jīng)數(shù)次收到過釣魚鏈接攻擊。所以，這次他想都沒想，就把短信轉(zhuǎn)給了好基友：加拿大公民實驗室(Citizen Lab)的研究人員。

沒錯，這一串鏈接，正是用來攻擊曼大爺?shù)?。只是，所有的安全研究員都沒想到，這個攻擊所利用的漏洞，竟然是如此勁爆。

簡單說吧，你只要點擊了這個鏈接，你的手機就對黑客透明了。對方甚至能透過手機，聞到你的呼吸。

公民實驗室和合作伙伴美國網(wǎng)絡(luò)安全公司 Lookout Security 驚出了一身冷汗。因為這組漏洞在理論上來說，可以用來控制全世界的 iPhone。

曼大爺無心插柳，不小心發(fā)現(xiàn)了 iPhone 史上最大的漏洞，從黑市的價格來看，至少值幾百萬美元，足夠買五臺瑪莎拉蒂。

安全研究員決定把這個勁爆的消息告訴蘋果，這就是 iOS 9.3.5 的來由。這組漏洞被命名為三叉戟。

一邊是傲嬌的曼大爺，另一邊是哭暈在廁所的黑客。

【曼大爺（曼蘇爾）和試圖搞他的組織們】

NSO

這套漏洞的主人是以色列網(wǎng)絡(luò)軍火商 NSO Group，說它是以色列的公司并不準確，雖然 NSO 運營在以色列，但位于舊金山的私募股本公司Francisco Partners在2014年以1.2億美元的價格收購了 NSO 大部分的股權(quán)。

在 LinkedIn 上，可以找到這家公司的一些信息。資料顯示這是一家“互聯(lián)網(wǎng)安全軟件解決方案和安全研究領(lǐng)域的獨特公司”、“公司主要負責移動和PC環(huán)境中的一些獨特軟件的開發(fā)”以及“公司還專攻移動和PC控制環(huán)境下一些搶手解決方案”。

看起來都是些廢話，不過在資料里公司的“專攻項目”還是泄露了天機：互聯(lián)網(wǎng)安全、移動安全、網(wǎng)絡(luò)威脅以及滲透測試等。

簡單說來，NSO 就是開發(fā)高科技間諜工具的公司。

對于玩“入侵”的公司，漏洞就是他們的“核心科技”。而這組可以用一條鏈接來控制 iPhone 的漏洞，無疑是漏洞中的皇冠。對于 NSO 來說，這不僅是一組可以制造間諜工具的漏洞，而是他們江湖地位的基石。

腦補一下 NSO 老板叼著煙卷和某國官員談生意的場景?！拔覀兪掷锏穆┒?，可以讓全國的 iPhone 都在你的掌控中，想偷聽誰說話就偷聽誰說話，想打開誰的攝像頭就能打開誰的攝像頭！沒事還能看美女自拍下載 10G 資源神馬的，順著這條街你出去問問，誰還能辦到？”

【電影《1984》中，老大哥無時無刻不在看著你】

iOS 9.3.5，讓 NSO 一夜夢碎。用瑪莎拉蒂撞人，不但沒成功，車還被罰沒了。

這個漏洞究竟有多吊？

雖然看了這么多，但你可能還沒 get 到三叉戟漏洞的逆天之處。

關(guān)鍵詞是：“遠程攻擊”。

雷鋒網(wǎng)宅客頻道（微信搜索宅客頻道）先來科普一下。對于 iPhone 來說，越獄和攻擊在原理上是一碼事，都是利用漏洞破壞掉 iOS 的安全機制。只不過，越獄之后，iOS 的掌控權(quán)在機主手里；而被攻擊之后， iOS 的掌控權(quán)在黑客手里。

如此說來，凡是玩過越獄的童鞋，其實都對自己的手機發(fā)起過“攻擊”。你可能記得，無論是用盤古還是太極的越獄工具，都需要把手機連接到電腦上。這是因為，隨著幾年的發(fā)展迭代，iOS 的安全機制已經(jīng)非常健全，雖然越獄大牛們可以做到利用漏洞干掉 iOS 的防御系統(tǒng)，但是這種攻擊只能在本地發(fā)起。簡單說來，攻擊者必須能夠接觸到被攻擊手機，還要有充足的時間連接到電腦上運行越獄程序。

這其實不太酷。在我們的想象中，真正的攻擊應(yīng)該是羽扇綸巾的黑客輕輕點擊鼠標，千里之外檣櫓灰飛煙滅。

在三叉戟漏洞爆出之后，360涅槃團隊的高雪峰告訴雷鋒網(wǎng)宅客頻道：

iOS 在每一次大版本的升級中，幾乎都會加入一個非常有力的安全防護機制，如今五年過去，遠程越獄 iOS 的難度成幾何數(shù)級增長，尤其是 iOS 7 之后，這種級別的漏洞幾乎絕跡，所以遠程越獄的難度根本不能同日而語。

意大利小子 luca 曾經(jīng)放出過一段視頻，是通過safari越獄 iOS 9.3.2，但是在市面上是沒有的。

至于上一次有人公開發(fā)布遠程越獄 iOS 工具，還是在五年以前。

高雪峰說：

在 iOS 的早期，遠程越獄是曾經(jīng)實現(xiàn)過的，但是上一次有黑客團隊實現(xiàn)對 iOS 的遠程越獄，還是 iOS 4.3.3時代。 黑客 comex 發(fā)布的遠程越獄工具，在Safari瀏覽器訪問http://www.jailbreakme.com 即可越獄。

所以，在三叉戟之前，遠程攻擊 iOS 9.X，是一個江湖傳說?！爸髁骱诳汀眰兓蚨嗷蛏傧嘈胚@種漏洞的存在，但是從未有人親眼見過這個“神器”。世界著名漏洞軍火商 Zerodium 曾經(jīng)懸賞100萬美金收購遠程攻擊 iPhone 的漏洞，據(jù)說有黑客真的成功賣給了他們。這也證明了世界上確實還存在這樣逆天的漏洞。

NSO聯(lián)合創(chuàng)始人Omri Lavie 曾經(jīng)接受軍事貿(mào)易國防新聞刊物的采訪，他說：

我們完全像是幽靈，對于攻擊目標來說，我們是完全透明的，不會留下任何痕跡。

在黑客眼里，這真是一句完美的贊嘆。

老司機解剖“三叉戟”

先科普一下，iOS 的安全級別大致分為應(yīng)用層、系統(tǒng)層和內(nèi)核層（層級越高，權(quán)限越大）。而如果想要越獄一部 iPhone，實際上是拿到內(nèi)核權(quán)限。這需要逐層突破層層守衛(wèi)，所以越獄往往需要幾個漏洞層層配合才能實現(xiàn)。

實際上，三叉戟漏洞由三個漏洞組成。（不然為什么要叫三叉戟呢？）

漏洞1：遠程突破iOS的Safari瀏覽器漏洞；

漏洞2：使內(nèi)核信息泄露的漏洞；

漏洞3：用于在內(nèi)核中執(zhí)行任意代碼的漏洞。

【蘋果在 iOS 9.3.5 升級中給出的三叉戟漏洞詳情】

盤古的越獄大神們在第一時間解剖了“三叉戟”，核心成員 DM（陳曉波）為我們還原了這種“遠程越獄”的全過程：

1、攻擊者首先通過 SMS 短信把一個鏈接發(fā)送給目標任務(wù)，當目標任務(wù)點擊鏈接之后，會訪問攻擊者的一個網(wǎng)站。

2、攻擊者的網(wǎng)站上會放置一個針對 Mobile Safari 的攻擊程序，這個程序中，包含了MobileSafari Javascript 引擎的一個 0day 漏洞。

3、攻擊程序被執(zhí)行之后，攻擊者會通過瀏覽器獲得手機的執(zhí)行權(quán)限。此時攻擊者的權(quán)限還只是被囚禁在沙盒之內(nèi)。

4、接下來，攻擊者通過兩個內(nèi)核漏洞（一個內(nèi)核信息泄露漏洞+一個內(nèi)核代碼執(zhí)行漏洞）獲得內(nèi)核執(zhí)行權(quán)限。

5、獲得內(nèi)核執(zhí)行權(quán)限后，攻擊者就完成了手機越獄。這時他會關(guān)閉一些iOS的安全保護機制，比如開啟 rootfs 的讀寫，關(guān)閉代碼簽名等等。

6、完成攻擊之后，入侵者就成為了手機的“主人”，可以實現(xiàn)對手機通信、流量的全面監(jiān)聽。

講真，這組漏洞之完美，讓 DM 也難掩贊嘆：

這個 JavaScript 漏洞是可以在系統(tǒng)開機的時候攻擊 iOS 系統(tǒng)。也就是說系統(tǒng)重啟的時候，還會走一遍攻擊流程，這有點類似之前的“完美越獄”。

【iOS 9.3.5 更新】

從“瑪莎拉蒂”到“一汽夏利”

蘋果，用升級 iOS 的方式官方宣告了三叉戟的存在。

在升級提示中，蘋果寫道：

本次更新提供了重要的安全性更新，推薦所有用戶安裝。

這句簡單的描述，湮沒了所有可能無法追尋的真相。

三叉戟漏洞在“野生”環(huán)境中存在了多久？

三叉戟漏洞究竟被多少人掌握？

三叉戟漏洞曾經(jīng)被哪些人使用，又對誰做了什么？

這些問題，即使是 NSO 都無法準確回答。一位 NSO 的某前雇員在接受《福布斯》采訪時說的話，也許能夠讓你管中窺豹：

我知道很多有關(guān)NSO產(chǎn)品的事，也知道它如何運作，但我沒法公布這些消息。如果我說了，會失去很多東西。公司只會將產(chǎn)品，賣給授權(quán)的政府機構(gòu)，公司貿(mào)易行為完全符合出口管制法律法規(guī)。

關(guān)于這個漏洞的鋒芒，還有一些公開的事實。

2015年，巴拿馬當?shù)孛襟w報道，巴拿馬政府購買 NSO 的間諜程序，為此給 NSO 支付了1060萬澳大利亞元，用以“針對移動設(shè)備信息的收集”。

毫不夸張地說，只要你有一部 iPhone，就有可能是三叉戟的受害者。而且，你可能永遠無法知道自己是否被攻擊過，或正在被攻擊。

然而，從另一個角度來說：最可怕的漏洞，往往是又是最安全的。

例如：核武器擁有最狂暴的殺傷力，但普通人死于核武器的概率，遠遠低于死于車禍的概率。

“瑪莎拉蒂級別的漏洞，不會輕易用在 Diors 身上?！?/p>

雖說滿滿負能量，但事實如此。

如果你不是人權(quán)斗士，或者異見人士，很可能如空氣一樣被忽視。頂尖黑客和各國政府依靠常識和理智，讓三叉戟這個怪獸和這個世界維持著精妙的平衡。但是在蘋果推出 iOS 9.3.5 的一瞬間，世界的格局發(fā)生了徹底的顛覆。

因為從這一刻開始，三叉戟的原理不再是秘密，幾乎一個腳本小子都可以遠程攻擊一部未升級的 iPhone。至此，難得一見的“瑪莎拉蒂”變成了遍地開花的“一汽夏利”。

【知乎用戶arju對于三叉戟漏洞的看法】

核武器按鈕掌握在總統(tǒng)手里，并不危險。當暴民沖進總統(tǒng)府搶到了核武器按鈕，才是末日。

那天早晨，你坐在餐桌前收到 iOS 9 的收官之作 9.3.5 推送時，一定沒有想到，氤氳的咖啡霧氣背后，是一個驚心動魄的末日故事。

蘋果的“漏洞戰(zhàn)爭”

即使安全體系再完善，總有可以攻破的方法。

世界上絕不可能僅有一個三叉戟。

面對這個事實，蘋果可以選擇漠視，就像2016年之前他們做的那樣；蘋果也可以選擇行動，就像現(xiàn)在他們做的那樣。

高雪峰說，在三叉戟爆發(fā)之前幾周，在美國舉行的黑客頂級會議 BlackHat 上，蘋果的安全研究員剛剛預告了蘋果將要推出的，對提交 iOS 漏洞的獎勵機制“Apple Bounty Program”，一個 iOS 漏洞最高可以獲得20萬美金的獎勵。

三叉戟爆發(fā)之后，付出代價的蘋果加快了行動。這就是9月那場著名的“鴻門宴”。

蘋果低調(diào)地向全世界 iOS 黑客大牛發(fā)出邀請函，邀請他們到位于庫比蒂諾的蘋果總部與蘋果高層見面。有關(guān)這次會面的一切，蘋果都和黑客們簽訂了保密協(xié)議。

從泄露的受邀名單來看，這些越獄黑客都是響當當?shù)娜宋铮?strong>包括意大利黑客 Luca Todesco、德國安全專家 " 樹人 "Stefan Esser（i0n1c）、神作 JailbreakMe 的作者 Nicholas Allegra（comex）、加拿大年輕黑客 iH8sn0w 、中國的盤古團隊、360涅槃團隊、騰訊科恩實驗室等。

某位參加了會面的大牛表示，這次會面雖然沒有外界猜測的那么神秘，但是卻昭示了蘋果態(tài)度的轉(zhuǎn)變：

之前他們相對傲慢，認為自己的安全團隊很厲害，不需要你們幫我發(fā)現(xiàn)。而這次和我們會面主要目的是放低姿態(tài)，認可你們這些人，幫我積極發(fā)現(xiàn)問題，共同促進蘋果安全。

另外，這次“鴻門宴”上， 蘋果還正式發(fā)布了“Apple Bounty Program”賞金計劃，但是只有參加了這次會面的黑客，才有資格提交漏洞獲取賞金。

蘋果第一次放下身段，對越獄大神們笑臉相迎。但可能只有上帝才知道，這些越獄大神背在身后的手上，是不是真的握有另一個三叉戟。而那些仍舊飄蕩在法外之地的“三叉戟”們，究竟掌握在誰的手里？

天平兩端，一邊是沉甸甸的金錢和閃光欲望。另一邊，是脆弱的良知。

2016年，這架天平傾覆了一次。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。