“就在今天凌晨，蘋果向中國推送了 iOS 10 正式版更新。

然而，在你點(diǎn)擊升級(jí)之前，看起來盤古團(tuán)隊(duì)已經(jīng)完成了對(duì)它的越獄。

盤古團(tuán)隊(duì)核心成員不多，卻是很多人眼中的 iOS 越獄之神；他們是中國，也是世界上唯一公開承認(rèn)自己有能力越獄 iOS 10 的黑客團(tuán)隊(duì)。

• iOS 的安全機(jī)制都有哪些？

• 越獄 iOS 究竟有多困難？

• 在開始研究 iOS 的日子里，盤古團(tuán)隊(duì)曾遇到過那些困難？

• 剛剛公開的 iOS 9.3.3 越獄工具究竟牛在什么地方，竟然讓蘋果專門推送 iOS 9.3.4 來封堵漏洞？

• 目前盤古團(tuán)隊(duì)越獄 iOS 的技術(shù)能力究竟有多強(qiáng)？

本次硬創(chuàng)公開課，我們獨(dú)家請(qǐng)到了盤古團(tuán)隊(duì)（犇眾信息）的 創(chuàng)始人&CEO 韓爭光，聽他敞開心扉，聊一聊有關(guān)盤古越獄的一切！

【TB 韓爭光】

嘉賓介紹：

韓爭光 ，花名TB，盤古團(tuán)隊(duì)（犇眾信息）創(chuàng)始人&CEO。

盤古團(tuán)隊(duì)，是由多名資深安全研究人員組成的專業(yè)安全研究團(tuán)隊(duì)。團(tuán)隊(duì)因連續(xù)多次發(fā)布iOS完美越獄工具而聞名，是國內(nèi)首個(gè)自主實(shí)現(xiàn)蘋果iOS完美越獄的團(tuán)隊(duì)，也是全球范圍內(nèi)第一個(gè)實(shí)現(xiàn)針對(duì)iOS 8和iOS 9系統(tǒng)完美越獄的團(tuán)隊(duì)。

上海犇眾信息技術(shù)有限公司，是以盤古團(tuán)隊(duì)為核心的自主創(chuàng)新型企業(yè)。在操作系統(tǒng)安全性研究、程序自動(dòng)化分析、漏洞挖掘與攻防等研究領(lǐng)域有深厚基礎(chǔ)。公司創(chuàng)立于2014年，致力于移動(dòng)互聯(lián)網(wǎng)安全技術(shù)研究和產(chǎn)品研發(fā)、為企業(yè)及個(gè)人用戶提供專業(yè)的安全服務(wù)和解決方案。

【盤古團(tuán)隊(duì)核心成員合影】

盤古團(tuán)隊(duì)的大牛們

雷鋒網(wǎng)宅客頻道：盤古團(tuán)隊(duì)的核心成員都比較低調(diào)神秘，可以為我們介紹一下，團(tuán)隊(duì)這些 iOS 越獄大牛都有哪些嗎？

我叫韓爭光，犇眾信息(aka 盤古團(tuán)隊(duì)) 創(chuàng)始人&CEO，16歲那年考上哈爾濱理工大學(xué)，18歲肄業(yè)開始出來從事網(wǎng)絡(luò)安全工作，曾就職于《黑客防線》、Fortinet等安全公司，到現(xiàn)在超過15年的網(wǎng)絡(luò)安全從業(yè)經(jīng)驗(yàn)了，基本上都是做安全技術(shù)方面的工作。

盤古團(tuán)隊(duì)的 iOS 越獄核心成員有：徐昊、陳小波、李小軍、王鐵磊、曾凡宇。

• 徐昊，是上海交大的信息安全碩士；

• 陳小波，曾就職于啟明星辰積極防御實(shí)驗(yàn)室、Mcafee、IntelSecurity、FireEye等安全公司從事資深網(wǎng)絡(luò)安全研究職位；

• 李小軍，是北京理工大學(xué)碩士，曾任啟明星辰助理總裁，負(fù)責(zé)啟明星辰積極防御實(shí)驗(yàn)室；

• 王鐵磊，是我們這里學(xué)歷最高的，北京大學(xué)計(jì)算機(jī)系博士，美國Georgia Tech博士后。畢業(yè)論文獲得中國計(jì)算機(jī)學(xué)會(huì)優(yōu)秀博士論文獎(jiǎng)，是國內(nèi)首個(gè)在IEEE S&P 、NDSS、TISSEC等頂級(jí)學(xué)術(shù)會(huì)議和期刊以第一作者發(fā)表論文的研究人員。2011年獲Secunia最有價(jià)值貢獻(xiàn)者獎(jiǎng)；

• 曾凡宇，精通硬件，國內(nèi)早期著名的文曲星和魅族的研究者。國內(nèi)第一個(gè)實(shí)現(xiàn)Android系統(tǒng)移植到魅族M8的大牛。

其中除了曾凡宇側(cè)重硬件之外，其他基本上都做了10多年的漏洞挖掘和安全研究的工作。

雷鋒網(wǎng)宅客頻道：什么原因讓盤古團(tuán)隊(duì)開始做 iOS 的越獄和安全研究？

其實(shí)對(duì)于普通用戶來說越獄技術(shù)比較神秘，但是對(duì)于網(wǎng)絡(luò)安全從業(yè)者來說，越獄就是系統(tǒng)層面的攻防。

最早盤古的核心都是國內(nèi)外安全行業(yè)從業(yè)10多年的資深研究人員，一直以來都在做漏洞挖掘方面的研究。大家對(duì) iOS 比較感興趣，就弄了一個(gè) QQ 群平時(shí)大家一起研究交流。2014年初的時(shí)候，大家稍微有了點(diǎn)時(shí)間，就開始折騰越獄，就這么一直折騰到現(xiàn)在。

雷鋒網(wǎng)宅客頻道：除了越獄，盤古團(tuán)隊(duì)還“折騰”什么呢？

我們公司主要是做一些移動(dòng)安全方面的研究和產(chǎn)品研發(fā)，主要是兩個(gè)方面：

第一是安全服務(wù)，側(cè)重于智能操作系統(tǒng)的風(fēng)險(xiǎn)評(píng)估以及安全咨詢，智能設(shè)備、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)系統(tǒng)基本上都在做。

第二是做一些安全產(chǎn)品和平臺(tái)。例如前段時(shí)間 iOS 三叉戟 APT事件，我們的 iOS 設(shè)備安全檢測(cè)產(chǎn)品就可以不用升級(jí)就可以檢測(cè)到。

這個(gè)檢測(cè)產(chǎn)品主要是用來檢測(cè) iOS 系統(tǒng)是否被人中過后門或者動(dòng)過手腳。因?yàn)樘O果本身系統(tǒng)的封閉特性，所以沒有什么特殊的方式能夠檢測(cè)，只能以洞制洞，利用漏洞來提權(quán)并對(duì)整個(gè)系統(tǒng)進(jìn)行安全檢查。

另外，還有一個(gè)我們投入很大人力和精力在做的 Janus 平臺(tái)。

這個(gè)平臺(tái)的主要目的是通過自己寫一些簡單的檢測(cè)規(guī)則來我們的應(yīng)用數(shù)據(jù)庫中查找符合規(guī)則的應(yīng)用，例如以前出過的 XCode Ghost 和Worm Hole 事件，可以通過某些特征來查找所有存在這種問題的應(yīng)用。

Janus 主要依靠我們的移動(dòng)應(yīng)用分析引擎來把我們搜集到的所有應(yīng)用進(jìn)行信息和行為提取，并進(jìn)行相關(guān)的索引和處理，存到我們?cè)贫藬?shù)據(jù)庫中，然后提供一種自定義的規(guī)則語言來進(jìn)行檢索。這套平臺(tái)很快就能上線，主要目標(biāo)用戶群是移動(dòng)安全研究員和惡意樣本分析工程師，目前我們內(nèi)部的同事在試用的過程中已經(jīng)依靠這個(gè)平臺(tái)發(fā)現(xiàn)了不少擁有大量用戶的移動(dòng)應(yīng)用存在高危風(fēng)險(xiǎn)和惡意行為。

破解 iOS 的安全機(jī)制有多難？

雷鋒網(wǎng)宅客頻道：可以從你的角度，為我們科普一下 iOS 的安全機(jī)制是怎樣的嗎？

iOS系統(tǒng)可以算是目前流行操作系統(tǒng)中安全最好的一個(gè)系統(tǒng)。從國外收購安全漏洞的公司給出的報(bào)價(jià)表中就可以看到 iOS 的漏洞價(jià)值最高，這也能從側(cè)面反映出 iOS 的安全性相對(duì)于其他系統(tǒng)來說要高。

【iOS 安全機(jī)制示意圖】

蘋果的安全機(jī)制也是一步一步在增加的，像早期做越獄難度就相對(duì)低一點(diǎn)，因?yàn)榘踩珯C(jī)制不健全導(dǎo)致比較容易突破。目前 iOS 的安全機(jī)制可以主要?dú)w類為以下幾個(gè)方面：

1、系統(tǒng)啟動(dòng)

蘋果在CPU中固化了一套 bootrom，這套系統(tǒng)是只讀的。也就是說這套系統(tǒng)出了問題，蘋果都沒辦法修復(fù)。這套 bootrom 內(nèi)置了一套蘋果的公鑰, 用于驗(yàn)證和啟動(dòng) Low-level boot，然后Low-Level boot 啟動(dòng) iboot，iboot 啟動(dòng)內(nèi)核。每一次啟動(dòng)新的東西, 都會(huì)由啟動(dòng)方校驗(yàn)被啟動(dòng)程序的合法和完整性。所以如果沒有 bootrom/iboot 級(jí)別的漏洞的話，基本上內(nèi)核在啟動(dòng)完成之前是沒辦法篡改內(nèi)核的。

2、系統(tǒng)更新

iOS 刷機(jī)和更新系統(tǒng)完全由蘋果來控制，用戶不能隨意降級(jí)。iOS 系統(tǒng)在升級(jí)過程中會(huì)對(duì)刷入設(shè)備的各個(gè)部分（LLB、iBoot、內(nèi)核、系統(tǒng)文件、基帶等）進(jìn)行聯(lián)網(wǎng)校驗(yàn)。校驗(yàn)通過，會(huì)針對(duì)每臺(tái)設(shè)備生成不同的簽名，在系統(tǒng)處理刷機(jī)的時(shí)候，會(huì)對(duì)這些刷進(jìn)去的內(nèi)容和簽名再進(jìn)行校驗(yàn)，校驗(yàn)失敗就不允許刷入設(shè)備。在以前到服務(wù)器的請(qǐng)求是可以進(jìn)行重放攻擊的。現(xiàn)在這個(gè)漏洞也被封掉了，采用的方法是：給每一次的請(qǐng)求加一個(gè)隨機(jī)值，這樣就能防止重放攻擊。

系統(tǒng)更新的這個(gè)安全限制也保障了大部分用戶只能升級(jí)到漏洞較少風(fēng)險(xiǎn)較低的新版本。

3、代碼簽名

蘋果系統(tǒng)上所有內(nèi)置的程序和應(yīng)用市場(chǎng)上的程序都是蘋果簽名的，任何第三方未經(jīng)蘋果簽名的應(yīng)用程序是不能運(yùn)行的。就算你使用蘋果頒發(fā)的代碼簽名證書進(jìn)行簽名，一旦蘋果發(fā)現(xiàn)你的證書被用于非授權(quán)的行為后，也可以對(duì)其進(jìn)行吊銷。

4、沙盒

運(yùn)行在蘋果系統(tǒng)上的第三方應(yīng)用都是運(yùn)行在沙盒保護(hù)下的，任何一個(gè)程序只能調(diào)用有限的系統(tǒng)允許的API，每個(gè)沙盒中的程序只能訪問自己的文檔路徑。這樣就能保證沙盒中的程序訪問和修改不了其他應(yīng)用和系統(tǒng)的文件。

5、數(shù)據(jù)保護(hù)

蘋果在數(shù)據(jù)保護(hù)層面做了很多事情，所有數(shù)據(jù)在硬盤上都是加密存儲(chǔ)，拆硬盤根本讀不到任何有用的數(shù)據(jù)。如同上一次 FBI 和蘋果之戰(zhàn)我們寫的技術(shù)分析文章一樣，蘋果對(duì)于磁盤上存儲(chǔ)的數(shù)據(jù)使用了多套保護(hù)措施。

首先，有一個(gè)加密文件使用的 key 被存放在某塊特定區(qū)域，然后使用 passcode 對(duì)其進(jìn)行保護(hù)，只有在驗(yàn)證了 passcode 有效性后，加密文件使用的 key 才能正確解密，系統(tǒng)才能正確讀取這些數(shù)據(jù)文件。以前在32位設(shè)備上還有暴力破解 passcode 的可能性。在64位設(shè)備發(fā)布后，iOS 系統(tǒng)把防止暴力破解的模塊移動(dòng)到新增加的安全芯片中了。

還有些需要保密的數(shù)據(jù)（例如系統(tǒng)的wifi、mail、vpn的密碼等，以及第三方應(yīng)用的一些登錄憑證），存放在keychain中，keychain數(shù)據(jù)拿到其他設(shè)備上也是不能進(jìn)行解密的，它是跟原設(shè)備的cpu進(jìn)行綁定的，每個(gè)cpu在出廠的時(shí)候都有不同加密秘鑰，蘋果對(duì)這些秘鑰也不進(jìn)行存儲(chǔ)。

6、隱私保護(hù)

隱私保護(hù)包括 Wi-Fi 地址隨機(jī)化、倡導(dǎo)啟用 https 等等。

以前有很多營銷的工具, 可以檢測(cè)出店鋪的客流量以及回頭客, 這個(gè)主要是檢測(cè)手機(jī)的 Wi-Fi 的 MAC 地址。蘋果啟用了 Wi-Fi 地址隨機(jī)化后，就能防止用戶設(shè)備通過 Wi-Fi 層面被跟蹤。

啟用 https 也是基于現(xiàn)在的移動(dòng)應(yīng)用情況。雖然 https 會(huì)讓服務(wù)提供商的成本增加，但是相對(duì)于 http 增加了通信加密的能力，防止用戶和服務(wù)端的通信被嗅探、被中間人的可能。

7、利用緩解技術(shù)

我們一般說越獄是需要使用漏洞的，漏洞也分為可被利用不可被利用，利用技術(shù)也有很大的不同。蘋果除了修補(bǔ)漏洞外，也增加了很多緩解利用的手段，有些手段可能就完全杜絕了一個(gè)類型漏洞的利用可能。

例如，蘋果在 iOS 系統(tǒng)上啟用了棧溢出保護(hù)、數(shù)據(jù)執(zhí)行保護(hù) DEP、地址隨機(jī)化、內(nèi)核補(bǔ)丁保護(hù)等等技術(shù)。這里主要講一下地址隨機(jī)化和iOS9中新增加的 KPP 保護(hù)。

這是我們之前在 Blackhat 演講中的 iOS 安全機(jī)制演進(jìn)示意圖：

【iOS 安全機(jī)制演進(jìn)示意圖】

地址隨機(jī)化：

可以看到蘋果在 4.3 中增加了 ASLR，ASLR 的意思就是地址隨機(jī)化；6 中增加了 KASLR，KASLR 多了一個(gè)K代表的是內(nèi)核。

以前有某個(gè)溢出漏洞，就可以直接寫利用，通過調(diào)用固定偏移量的函數(shù)來實(shí)現(xiàn)利用。但是增加了地址隨機(jī)化以后，對(duì)于以前要調(diào)用的函數(shù)的地址的偏移量就變成未知了，所以要想辦法確定內(nèi)核隨機(jī)化后的地址分布，就要多結(jié)合一個(gè)能夠泄露地址的漏洞，這個(gè)漏洞就叫做信息泄露漏洞。所以這個(gè)地址隨機(jī)化帶來的破解難度也相應(yīng)增加了。

KPP 內(nèi)核防補(bǔ)丁技術(shù)：

這個(gè)技術(shù)在 iOS 9 上首次被啟用，但是僅限于64位設(shè)備。主要是因?yàn)檫@個(gè)技術(shù)是要依靠64位設(shè)備上新增加的安全芯片來實(shí)現(xiàn)的。如果這個(gè)技術(shù)還是通過內(nèi)核來實(shí)現(xiàn)的話，完全就沒有意義。因?yàn)閮?nèi)核我都能 Patch 的話，那這個(gè)功能我也能 Patch 掉。所以在硬件上來實(shí)現(xiàn)，突破的可能性就變得很小。

我們?cè)?iOS9 中利用一些技巧繞過了 KPP 的檢測(cè)。

雷鋒網(wǎng)宅客頻道：對(duì)于盤古來說，做到越獄，最大的難度在哪里？

最大的難度主要是兩個(gè)方面:

1、要找到繞過各種保護(hù)手段的漏洞來組合一套越獄。例如：繞過沙盒，代碼執(zhí)行，提權(quán)，信息泄露，代碼簽名等，如果不能組合一套，就算某一個(gè)類型的漏洞再多也不行。

2、除了一套完整的漏洞組合，還要有想到各種“奇技淫巧”。像我們 iOS 8 和 iOS 9 越獄都是全球首發(fā)，那么 iOS 8 和 iOS 9 新增加的安全機(jī)制和利用緩解機(jī)制，我們就要絞盡腦汁去想辦法繞過。這個(gè)沒有歷史經(jīng)驗(yàn)可以參考和學(xué)習(xí)，例如我們?cè)?iOS 8 中繞過 TeamID 的技巧。

雷鋒網(wǎng)宅客頻道：作為熟悉 Android 和 iOS 這兩種系統(tǒng)的大牛，這兩種系統(tǒng)的安全機(jī)制在你眼中有什么區(qū)別嗎？

其實(shí)很多系統(tǒng)有些安全機(jī)制都是相通的，Windows/Linux/Mac/Android/iOS 等等?，F(xiàn)在安卓的安全機(jī)制也在逐漸向iOS靠攏，我覺得安卓現(xiàn)在最欠缺的主要是兩塊，這個(gè)也可能跟安卓的定位有關(guān)系。

第一是數(shù)據(jù)保護(hù)。安卓存在硬盤和存儲(chǔ)卡中的數(shù)據(jù)完全未加密，通過拆解硬盤或者直接讀取存儲(chǔ)卡就能獲取數(shù)據(jù)。而在蘋果上，即使拆了硬盤你也讀不到有用的數(shù)據(jù)。

第二個(gè)就是代碼簽名的問題。安卓的代碼簽名機(jī)制感覺是個(gè)擺設(shè)，目前看來主要的作用就是完整性的校驗(yàn)。因?yàn)樗腥硕伎梢宰约荷梢惶状a簽名的證書對(duì)代碼進(jìn)行簽名，這個(gè)也是目前惡意軟件泛濫的原因。沒有一套良好的證書管理體系，這個(gè)簽名的作用就不大。

當(dāng)然還有其他的一些問題。

例如安卓的權(quán)限開放的太多了，像短信這種非常隱私的數(shù)據(jù)，任何程序都能去讀取。這也導(dǎo)致了目前盜取短信的木馬泛濫，據(jù)說幾百塊錢就能定制一套安卓木馬。

還有一個(gè)難點(diǎn)就是：碎片化太嚴(yán)重。廠商太多，有些廠商在新機(jī)發(fā)布后，系統(tǒng)只保持一年的更新。一年后這個(gè)機(jī)型的系統(tǒng)就完全得不到升級(jí)了，那么有漏洞也就沒辦法修補(bǔ)了。

【盤古團(tuán)隊(duì)在頂級(jí)黑客大會(huì) Black Hat 上做演講，圖為徐昊（左）和王鐵磊（右）】

有關(guān)盤古越獄的一切

雷鋒網(wǎng)宅客頻道：在盤古最初做越獄的時(shí)候，有遇到一些巨大的困難嗎？

因?yàn)橹霸姜z都是國外的安全研究人員在做。所以剛開始接觸的時(shí)候，研究資料非常匱乏，學(xué)習(xí)和研究的難度都比較大。而且我們開始研究的時(shí)候，iOS 版本已經(jīng)是第7個(gè)大版本了，基本上能上的安全機(jī)制都已經(jīng)上了。

舉例來說的話，如果還是 iOS 3/4 的時(shí)代，一個(gè)月出一個(gè)越獄都不成問題。畢竟1-2個(gè)漏洞就能實(shí)現(xiàn)越獄。

我還記得，在第一次發(fā)布越獄前，剛開始有點(diǎn)成果的時(shí)候，就在微博上發(fā)了截圖和視頻。其實(shí)當(dāng)時(shí)還沒完全搞完，但是各種罵聲都來了，基本上大部分的人都在說我們是騙子。

第一次越獄發(fā)布后，有人質(zhì)疑漏洞或者越獄是花錢買來的，當(dāng)時(shí)我還寫了一篇微博長文回應(yīng)。另外還有些老外在質(zhì)疑中國人開發(fā)的程序是否有后門。

但是，當(dāng)我們第二次發(fā)布越獄后，這些質(zhì)疑聲基本都沒了。而且從那時(shí)開始，我們已經(jīng)在國外的越獄圈和安全權(quán)有了良好的口碑。到了如今，肯定更沒有人質(zhì)疑我們的能力了。

現(xiàn)在，我們也會(huì)把每次越獄的一些技術(shù)和研究的細(xì)節(jié)拿到全球最大的黑客大會(huì)上去分享，例如BlackHat、CanSecWest 等。另外像我們今年7月1號(hào)舉辦的第二屆 MOSEC 移動(dòng)安全技術(shù)峰會(huì)，國外很多公司，例如微軟、蘋果都派人來參加了。

【盤古放出 iOS 9.2-9.3.3 越獄工具】

雷鋒網(wǎng)宅客頻道：說說前不久盤古團(tuán)隊(duì)剛剛放出的 iOS 9.3.3越獄工具吧，在這個(gè)越獄工具的背后，有什么不為人知的故事嗎？

剛才說的越獄最大的難度就在于如何找到一套能夠配合的漏洞組合。大部分時(shí)候越獄需要5個(gè)左右的安全漏洞配合。而這一次 9.3.3 的越獄我們僅僅需要一個(gè)漏洞即可。

因?yàn)檫@個(gè)漏洞擁有信息泄露、沙盒繞過、代碼執(zhí)行、權(quán)限提升漏洞的所有能力，并且還能繞過蘋果的審核上架。像這種漏洞完全不會(huì)比三叉戟的漏洞弱，所以蘋果專門為了這一個(gè)漏洞緊急發(fā)布了一個(gè) 9.3.4 的更新。

雷鋒網(wǎng)宅客頻道：據(jù)說這次越獄工具比之前的都要完美，可以從技術(shù)上解讀一下，這次越獄工具完美在什么地方嗎？

其實(shí)過去的所謂的完美越獄和不完美越獄，只是翻譯的國外的英文“Untethered Jailbreak/Tethered Jailbreak”, 這兩個(gè)越獄的差別主要是一個(gè)不需要連接電腦引導(dǎo)開機(jī)，一個(gè)需要連接電腦引導(dǎo)開機(jī)。

我們這一次也是想嘗試一種新的方式，盡量不修改系統(tǒng)文件，讓用戶可以隨意切換越獄和正常系統(tǒng)模式。例如以前的完美越獄沒有辦法恢復(fù)出廠設(shè)置，我們這一次的越獄完全可以恢復(fù)出廠設(shè)置。一般用戶基本上很久不會(huì)關(guān)機(jī)的，重啟后只需要點(diǎn)擊APP運(yùn)行就可以獲取越獄能力。

這是我們的創(chuàng)舉，以前越獄的設(shè)備是不能恢復(fù)出廠的，一恢復(fù)就白蘋果。

雷鋒網(wǎng)宅客頻道：在這些年的安全研究中，有沒有比較失敗的經(jīng)歷呢？

失敗倒算不上，不過傷心的事情很多。我們這些年被撞和被封的漏洞也比較多。

所謂被撞，就是其他安全研究人員也發(fā)現(xiàn)了同一個(gè)漏洞，報(bào)告給蘋果，或者是通過其他渠道蘋果獲得了漏洞細(xì)節(jié)然后進(jìn)行修補(bǔ)。

所謂被封，一般都是蘋果內(nèi)部自己的發(fā)現(xiàn)的問題，或者無意中增加功能或者刪減功能導(dǎo)致漏洞不存在了，還有一些應(yīng)該算是利用方式被修補(bǔ)了。

算下來這些被撞和被補(bǔ)的漏洞，加起來都?jí)蚝脦滋自姜z了。尤其是蘋果推出了Apple Pay以后，他們?cè)诎踩矫嫱度胍苍诩哟蟆?/p>

但是對(duì)我們來說這樣也好。難度越高就越有挑戰(zhàn)，攻防向來都是一體的，從攻擊學(xué)如何防御，從防御來想如何繞過防御達(dá)到攻擊的目的，這是一個(gè)雙方不斷博弈的過程，在博弈中會(huì)讓系統(tǒng)變得更加安全。

盤古團(tuán)隊(duì) VS iOS 10

雷鋒網(wǎng)宅客頻道：對(duì)于 iOS 10，盤古團(tuán)隊(duì)是否有越獄的能力呢？

iOS 10 的正式版估計(jì)跟 10.0.1 GM 一樣，這個(gè)版本我已經(jīng)用了好幾天了。

iOS 10 的安全性變化也很大，簡單來說就是攻擊面縮小了。而且10已經(jīng)修補(bǔ)了我們?cè)?9.3.3 中繞過KPP的技巧，另外沙盒也增強(qiáng)了。

不過，我們已經(jīng)在 iOS 10.0.1 GM 上成功運(yùn)行 Cydia 了，現(xiàn)在我們還有很多細(xì)節(jié)要繼續(xù)研究和修補(bǔ)，你知道越獄不光是為了突破安全保護(hù)，還要想辦法配合 Cydia 和 CydiaSubstrate，讓他們能夠正常運(yùn)行。

【陳小波在國內(nèi)黑客大會(huì) Xpwn 上展示越獄 iOS 10 Beta 8】

雷鋒網(wǎng)宅客頻道：也就是說 iOS 10 正式版，應(yīng)該是很有把握可以越獄啦？

目前從我們研究的成果來說，答案是肯定的。

雷鋒網(wǎng)宅客頻道：可以說說研究iOS 10 各個(gè) Beta 版本的過程中，有哪些有趣的故事嗎？

在7月1日我們舉辦 MOSEC 的時(shí)候，曾經(jīng)演示過 iOS 10 Beta 1 的越獄；

另外，我們本來準(zhǔn)備在 Xpwn 上演示越獄 iOS 10 beta 7 的，但是就在 Xpwn 舉辦前兩天，蘋果突然發(fā)布了 iOS 10 Beta 8。于是我們又花了兩天時(shí)間，準(zhǔn)備了iOS 10 Beta 8 的越獄演示。

新系統(tǒng)（iOS 10）新增加的安全機(jī)制一直以來都是個(gè)挑戰(zhàn)，因?yàn)槲粗臇|西比較多，所以只有嘗試后，才能知道增加了什么機(jī)制。

不過相比最開始我們做越獄來說，越獄 iOS 10 難度有所降低。畢竟我們手里已經(jīng)有能用于研究的漏洞了。如果手里沒有這些漏洞，新系統(tǒng)的安全研究根本無從下手。

這個(gè)就像我們把一般測(cè)試分為黑盒測(cè)試和白盒測(cè)試一樣。

我們最早期的研究類似于黑盒測(cè)試，沒有任何積累，兩眼一抹黑；

我們現(xiàn)在的測(cè)試更像灰盒測(cè)試，利用手里已經(jīng)有的漏洞和經(jīng)驗(yàn)積累，相對(duì)來說會(huì)稍微容易點(diǎn)。

不過說起來感覺輕松，但是實(shí)際上不輕松，這也是靠很久的經(jīng)驗(yàn)積累才能達(dá)到現(xiàn)在的結(jié)果。

【盤古團(tuán)隊(duì)成員 徐昊 陳小波 王鐵磊】

雷鋒網(wǎng)宅客頻道：從你的角度看，盤古對(duì) iOS 10 的越獄能力究竟處于什么狀態(tài)？

從 iOS 8 開始，我們一直都保持著對(duì)iOS最新版持續(xù)越獄的能力，這個(gè)能力主要用于后面的研究。多強(qiáng)這個(gè)不太好衡量，但是能持續(xù)越獄和研究對(duì)我們來說就夠了。

從全世界來看，做 iOS 安全研究的本來也不會(huì)很多。因?yàn)橄鄬?duì)于其他系統(tǒng)來說，iOS 的門檻確實(shí)較高。不過能做的安全研究人員據(jù)我所知，能力都很不錯(cuò)。我們的目標(biāo)一直都是保持在最前列，新出來的安全技術(shù)能夠第一時(shí)間就能分析出細(xì)節(jié)。

雷鋒網(wǎng)宅客頻道：接下來是一個(gè)重磅問題，盤古會(huì)不會(huì)發(fā) iOS 10 的越獄工具？

這是一個(gè)頭疼的問題，按照以往我們的慣例，我們從來不在發(fā)布前劇透。主要是因?yàn)槲叶疾恢朗裁磿r(shí)候會(huì)發(fā)布，這個(gè)取決于很多因素，要綜合考慮才會(huì)有結(jié)果。

這些因素包括：

蘋果系統(tǒng)版本的穩(wěn)定性如何？

受眾有多少？

我們手里的儲(chǔ)備是否允許我們公開漏洞？

。。。

例如：一般 iOS 10.0.1 這種盤古肯定不會(huì)發(fā)布越獄工具，因?yàn)檫@是第一個(gè)版本，穩(wěn)定性還不夠。

另外例如：iPhone 7 很多用戶還沒拿到手，我們發(fā)了也沒有意義。

如果我們手里又多找到一套漏洞，也可能促使我們發(fā)布越獄工具。

雷鋒網(wǎng)宅客頻道：江湖上傳說，盤古在保持兩套或兩套以上的越獄漏洞的時(shí)候，才會(huì)發(fā)布越獄工具，是這樣嗎？現(xiàn)在盤古手里有多少套越獄 iOS 10 的漏洞呢？方便透露嗎？

（兩套漏洞）這也是一個(gè)衡量的標(biāo)準(zhǔn)吧。畢竟保留一套在手里，被封和被撞的可能性會(huì)比較大，對(duì)后續(xù)的研究也會(huì)造成影響，所以有兩套以上心里會(huì)更有底氣。

目前來說，我們手中的越獄漏洞算有兩套吧，另外有一套還在弄。

【盤古（犇眾）研發(fā)的設(shè)備安全檢測(cè)產(chǎn)品】

盤古還在攢什么大招？

雷鋒網(wǎng)宅客頻道：盤古屬于“一言不合就放大招”的風(fēng)格，那么盤古在未來還會(huì)放哪些大招呢？

我們安全研究團(tuán)隊(duì)現(xiàn)在規(guī)模也不小，iOS研究只是一塊，很多操作系統(tǒng)的安全都是我們的研究方向，像我們實(shí)驗(yàn)室的聞?dòng)^行今年就給Adobe報(bào)告了幾十個(gè)Flash的漏洞。另外在內(nèi)部我們還會(huì)持續(xù)地培養(yǎng)新人，畢竟目前國內(nèi)能做這種底層系統(tǒng)的安全研究人員很少。

之前說的Janus就是我們公司的一個(gè)超級(jí)大招。我們投入了大量的安全研究人員和開發(fā)人員來做這套移動(dòng)系統(tǒng)應(yīng)用的分析平臺(tái)。我們把我們對(duì)移動(dòng)應(yīng)用安全研究的能力和一些自動(dòng)化分析工具整合起來，結(jié)合大數(shù)據(jù)平臺(tái)，提供給安全研究人員和惡意程序分析人員使用。

舉兩個(gè)例子：

1. 如果某個(gè)安全研究人員在移動(dòng)應(yīng)用中找到一個(gè)漏洞，通過把這個(gè)漏洞的特征規(guī)則化，然后在我們平臺(tái)上進(jìn)行檢索，我們可以把符合這個(gè)漏洞特征的所有應(yīng)用都能很快速度的列舉出來。

2. 如果某個(gè)惡意樣本分析人員，發(fā)現(xiàn)了某一個(gè)惡意樣本，他同樣也可以把惡意行為規(guī)則化，然后來檢索，這樣就能把所有的惡意程序都能列舉出來。

這里面還結(jié)合了一些第三方的威脅情報(bào)，跟我們的系統(tǒng)整合進(jìn)行關(guān)聯(lián)分析，這樣做可以大幅度提升移動(dòng)應(yīng)用市場(chǎng)的安全性和減少惡意程序的傳播途徑。我們也會(huì)跟運(yùn)營商和國家相關(guān)部門合作，爭取能夠最大限度地保護(hù)用戶隱私和數(shù)據(jù)。

【Janus 平臺(tái)工作界面】

精彩問答

Q：現(xiàn)在使用盤古越獄工具越來越容易，那么普通用戶越獄后，可能使手機(jī)處于不安全狀態(tài)，對(duì)此你有什么建議？

這個(gè)就是自由和不自由的代價(jià)了，例如 Windows 平臺(tái)任何軟件都能安裝，病毒也很多，但是并不能成為不用的理由。

越獄是為了想達(dá)到自由，首先肯定有安全性的降低，這個(gè)是毋庸置疑的。但是不是所有安全機(jī)制都會(huì)被破壞，嚴(yán)格意義上來說，越獄只是取消了蘋果代碼簽名的驗(yàn)證。所以如果普通用戶又想越獄，又想安全，那就安裝第三方插件或者軟件的時(shí)候，盡量選擇可信的源安裝即可。

此外，iOS 的沙盒機(jī)制我們并沒有破壞，正常商店安裝的應(yīng)用還是拿不到系統(tǒng)權(quán)限的，只有你通過 Cydia 安裝的一些插件和應(yīng)用才會(huì)有能力做破壞的事情，這個(gè)還是要靠經(jīng)驗(yàn)，就像我 Windows 從來不安裝任何殺毒軟件，但是基本上也不會(huì)中病毒。

Q：現(xiàn)在的越獄是否會(huì)影響到Apple Pay的安全性？

蘋果的applepay是可以離線使用的，所有的信息都是存在單獨(dú)的安全硬件中。Apple Pay的安全性是由底層硬件提供的，這個(gè)系統(tǒng)做不到干涉。就算越獄了，想獲取你的信用卡信息還是沒辦法做到。

Q：越獄團(tuán)隊(duì)核心成語是如何分工的，比如發(fā)現(xiàn)了漏洞誰寫 Poc寫 Exploit，有明確分工嗎？還有盤古都是宣傳那5位大牛，就沒新人就沒發(fā)現(xiàn)iOS方面的漏洞來嗎？還是想藏起來？

這個(gè)要看個(gè)人的專注方向和經(jīng)驗(yàn)，有的同事是硬件比較熟悉，有的同事是利用寫的好，有的是找漏洞有經(jīng)驗(yàn)，按照專注方向來分工，有可能找漏洞的同事不善于寫利用的話，那他就寫poc就可以了，其他的交給經(jīng)驗(yàn)豐富的人來做。

新來的同事有的是負(fù)責(zé)其他方向。例如 Windows/Flash 等等，他們報(bào)給官方的信息也會(huì)帶有個(gè)人信息，我們的對(duì)外宣傳也不會(huì)隱藏他們。例如我們過段時(shí)間就有一個(gè)新同事要去BlackHat 歐洲去演講了。

Q：如果想成為盤古團(tuán)隊(duì)一樣的大牛，應(yīng)該怎樣努力呢？

我們所做的iOS安全研究，需要的知識(shí)比較多，包括 ARM、ARM64、操作系統(tǒng)底層，還有些其他平臺(tái)上積累的安全研究經(jīng)驗(yàn)。

凡是牽扯到二進(jìn)制研究的，門檻都不會(huì)低，而且時(shí)間成本也很高。這個(gè)必須要有興趣，而且還要耐得住性子，有可能學(xué)了一年什么成果都不會(huì)有。

很多人都是通過別人寫的工具，進(jìn)入這個(gè)行業(yè)，那么想走的深，就要研究更底層的原理。如果只是一味的用工具，而不能轉(zhuǎn)變思路的話，那么這個(gè)人自己本身也不適合在這個(gè)行業(yè)深入發(fā)展。

當(dāng)然，如果有同學(xué)對(duì)盤古和犇眾感興趣，想要成為我們的一員，也可以登錄我們的網(wǎng)站來看看。

http://pwnzen.com 

本次演講到此結(jié)束。更多大牛開講，請(qǐng)繼續(xù)關(guān)注“宅客頻道”。

宅客『Letshome』

雷鋒網(wǎng)旗下業(yè)界報(bào)道公眾號(hào)。

專注先鋒科技領(lǐng)域，講述黑客背后的故事。

相關(guān)文章：

Twitter CEO Twitter賬戶被黑，盤古越獄 iOS 10 | 宅客周刊

iOS?9.1&watchOS?2.0.1更新體驗(yàn)?盤古越獄恐成最大輸家

盤古越獄for iOS 8的下載頁面曝光

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。