昨天，蘋(píng)果猝不及防地發(fā)布了 iOS 9.3.5，在升級(jí)說(shuō)明中，有且只有一條：提供了重要的安全性更新，推薦所有用戶(hù)安裝。

沒(méi)想到，這次低調(diào)的升級(jí)卻牽出了 iOS 歷史上最大的漏洞。

先科普一下，iOS 的安全級(jí)別大致分為應(yīng)用層、系統(tǒng)層和內(nèi)核層（層級(jí)越高，權(quán)限越大）。而如果想要越獄一部 iPhone，實(shí)際上是拿到內(nèi)核權(quán)限。這需要逐層突破層層守衛(wèi)，所以越獄往往需要幾個(gè)漏洞層層配合才能實(shí)現(xiàn)。

早在蘋(píng)果發(fā)布此次安全性更新的前一天，以曝光大規(guī)模監(jiān)視任務(wù)為己任的，多倫多蒙克全球事務(wù)學(xué)院的公民實(shí)驗(yàn)室就發(fā)布了關(guān)于發(fā)現(xiàn)蘋(píng)果 0Day 漏洞的詳細(xì)研究報(bào)告，并將它們命名為“三叉戟”漏洞。這組漏洞究竟有多牛X呢？

1、這組漏洞全部是 0Day 漏洞。即在曝光之前，除了漏洞的發(fā)現(xiàn)者，沒(méi)有任何人知道這個(gè)漏洞的存在；

2、用戶(hù)只需要輕輕點(diǎn)擊黑客發(fā)來(lái)的的鏈接，手機(jī)就會(huì)被遠(yuǎn)程越獄。黑客瞬間獲得手機(jī)的最高權(quán)限；

3、利用最高權(quán)限，黑客可以遠(yuǎn)程對(duì)用戶(hù)的iPhone進(jìn)行操作、控制，查看手機(jī)攝像頭、竊聽(tīng)用戶(hù)談話(huà)和錄音、查看用戶(hù)的應(yīng)用信息，可以說(shuō)是為所欲為。

講真，利用一個(gè)鏈接，就可以徹底控制你的 iPhone，這種級(jí)別的 iOS 漏洞，一直是個(gè)江湖傳說(shuō)。人們經(jīng)常說(shuō)起，但就是沒(méi)有人見(jiàn)過(guò)。

那么這組漏洞究竟為神馬被曝光出來(lái)呢？故事的起因是這樣的：

最初給公民實(shí)驗(yàn)室提供線(xiàn)索的是阿拉伯人權(quán)斗士曼蘇爾。8月10日與11日，曼蘇爾收到了兩條聲稱(chēng)含有囚犯在阿聯(lián)酋監(jiān)獄中遭到折磨的“秘密”，點(diǎn)擊文中鏈接即可查看。曼蘇爾覺(jué)得此事蹊蹺，把線(xiàn)索提供給了公民實(shí)驗(yàn)室，公民實(shí)驗(yàn)室從鏈接順藤摸瓜，挖出了“幕后黑手”NSO Group。

曼蘇爾收到的兩條短信

據(jù)江湖傳言，一直盯著iOS系統(tǒng)的黑客們似乎知道有這種漏洞的存在，但在Lookout 與公民實(shí)驗(yàn)室發(fā)布研究報(bào)告之前，從未有人親眼見(jiàn)過(guò)這個(gè)漏洞的存在。世界著名漏洞軍火商 Zerodium 也曾花100w刀成功收購(gòu)過(guò)類(lèi)似的漏洞，但不知道是否與此次報(bào)告中的漏洞有關(guān)。

雷鋒網(wǎng)在第一時(shí)間采訪(fǎng)到了國(guó)內(nèi)頂級(jí) iOS 越獄團(tuán)隊(duì)盤(pán)古的核心成員 DM557（陳曉波），他們也是目前全球唯一（公開(kāi)表示）擁有越獄iOS 10 Beta 的團(tuán)隊(duì)。

DM557 為我們還原了這種“遠(yuǎn)程越獄”的全過(guò)程：

1、攻擊者首先通過(guò) SMS 短信把一個(gè)鏈接發(fā)送給目標(biāo)任務(wù)，當(dāng)目標(biāo)任務(wù)點(diǎn)擊鏈接之后，會(huì)訪(fǎng)問(wèn)攻擊者的一個(gè)網(wǎng)站。

2、攻擊者的網(wǎng)站上會(huì)放置一個(gè)針對(duì) Mobile Safari 的攻擊程序，這個(gè)程序中，包含了MobileSafari Javascript 引擎的一個(gè) 0day 漏洞。

3、攻擊程序被執(zhí)行之后，攻擊者會(huì)通過(guò)瀏覽器獲得手機(jī)的執(zhí)行權(quán)限。此時(shí)攻擊者的權(quán)限還只是被囚禁在沙盒之內(nèi)。

4、接下來(lái)，攻擊者通過(guò)兩個(gè)內(nèi)核漏洞（一個(gè)內(nèi)核信息泄露漏洞+一個(gè)內(nèi)核代碼執(zhí)行漏洞）獲得內(nèi)核執(zhí)行權(quán)限。

5、獲得內(nèi)核執(zhí)行權(quán)限后，攻擊者就完成了手機(jī)越獄。這時(shí)他會(huì)關(guān)閉一些iOS的安全保護(hù)機(jī)制，比如開(kāi)啟rootfs的讀寫(xiě)，關(guān)閉代碼簽名等等。

6、完成攻擊之后，入侵者就成為了手機(jī)的“主人”，可以實(shí)現(xiàn)對(duì)手機(jī)通信、流量的全面監(jiān)聽(tīng)。

通過(guò)漏洞可獲取的信息圖示

另外，作為越獄大神，DM557 也沒(méi)有吝惜對(duì)這種越獄的贊賞之情。:

這個(gè) JavaScript 漏洞是可以在系統(tǒng)開(kāi)機(jī)的時(shí)候攻擊iOS系統(tǒng)。也就是說(shuō)系統(tǒng)重啟的時(shí)候，還會(huì)走一遍攻擊流程，這有點(diǎn)類(lèi)似之前的“完美越獄”。

雷鋒網(wǎng)也采訪(fǎng)到了專(zhuān)注 iOS 安全研究的 360 涅槃團(tuán)隊(duì)負(fù)責(zé)人高雪峰，他告訴雷鋒網(wǎng)，

在 iOS 的早期，遠(yuǎn)程越獄是曾經(jīng)實(shí)現(xiàn)過(guò)的，但是上一次有黑客團(tuán)隊(duì)實(shí)現(xiàn)對(duì) iOS 的遠(yuǎn)程越獄，還是 iOS 4.3.3時(shí)代。 黑客 comex 發(fā)布的遠(yuǎn)程越獄工具，在Safari瀏覽器訪(fǎng)問(wèn)

http://www.jailbreakme.com 即可越獄。（感興趣的童鞋可以戳進(jìn)去懷舊一下，如果你真的還在用 iOS 4.3.3，也可以嘗試一下越獄。。。）

iOS 4.3.3，已經(jīng)是2011年的往事了。高雪峰強(qiáng)調(diào)：

iOS 在每一次大版本的升級(jí)中，幾乎都會(huì)加入一個(gè)非常有力的安全防護(hù)機(jī)制，如今五年過(guò)去，遠(yuǎn)程越獄 iOS 的難度成幾何數(shù)級(jí)增長(zhǎng)，尤其是 iOS 7 之后，這種級(jí)別的漏洞幾乎絕跡，所以遠(yuǎn)程越獄的難度根本不能同日而語(yǔ)。

意大利小子 luca 曾經(jīng)放出過(guò)一段視頻，是通過(guò)safari越獄 iOS 9.3.2，但是在市面上是沒(méi)有的。

【CVE-2016-4655 CVE-2016-4656 CVE-2016-4657  分別為webkit漏洞，用戶(hù)點(diǎn)擊漏洞觸發(fā)；內(nèi)核信息泄露漏洞；內(nèi)核內(nèi)存損壞漏洞，相結(jié)合達(dá)到突破iOS系統(tǒng)權(quán)限/圖片由 360 涅槃團(tuán)隊(duì)提供】

盤(pán)古團(tuán)隊(duì)大牛 DM557 說(shuō)：

這三個(gè) 0Day 漏洞的質(zhì)量極高，在這件事被曝光出來(lái)以前，遠(yuǎn)程越獄攻擊最新的 iOS 系統(tǒng)就是一個(gè)傳說(shuō)。我不覺(jué)得這是個(gè)遠(yuǎn)程越獄攻擊這么簡(jiǎn)單了，這就是一個(gè)針對(duì)最新 iOS 手機(jī)的遠(yuǎn)程 APT 攻擊了。（APT：高級(jí)持續(xù)性威脅，一般是國(guó)家間或國(guó)際公司間為了特定目標(biāo)而持續(xù)攻擊的頂級(jí)黑客組織所為。）

其實(shí)，就在這個(gè)漏洞曝光前，盤(pán)古團(tuán)隊(duì)也發(fā)布了針對(duì)移動(dòng)設(shè)備 APT 的檢測(cè)工具，感興趣的童鞋可以戳 http://pwnzen.com/apt.html

高雪峰還提到了一個(gè)有趣的背景，在今年8月美國(guó)舉行的黑客頂級(jí)會(huì)議 BlackHat 上，蘋(píng)果的安全研究員剛剛提出對(duì)提交 iOS 漏洞的獎(jiǎng)勵(lì)機(jī)制，一個(gè) iOS 漏洞最高可以獲得20萬(wàn)美金的獎(jiǎng)勵(lì)。

但是對(duì)于這種遠(yuǎn)程漏洞，蘋(píng)果并沒(méi)有獎(jiǎng)勵(lì)計(jì)劃。原因是這種漏洞破壞力太大，用在黑產(chǎn)之中，可以獲得難以想象的巨大利益，所以蘋(píng)果根本沒(méi)有奢望有人會(huì)把這樣的漏洞提交給自己。

總結(jié)來(lái)說(shuō)，在 iOS 的世界里，已經(jīng)存在了一種兇狠的“瘟疫”，可以分分鐘讓你的 iPhone 天塌地陷。然而，幸虧我們已經(jīng)擁有了抵擋這種“瘟疫”的疫苗。這就是 iOS 9.3.5。只要輕輕點(diǎn)擊升級(jí)系統(tǒng)，就可以從這片恐怖的危機(jī)海洋中上岸。

然而，誰(shuí)又能知道，是否還有和“三叉戟”一樣兇殘的漏洞正在地下涌動(dòng)，在人們猝不及防的時(shí)候，再次席卷世界呢？

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。