“就在今天凌晨，蘋果向中國推送了 iOS 10 正式版更新。

然而，在你點擊升級之前，看起來盤古團隊已經(jīng)完成了對它的越獄。

盤古團隊核心成員不多，卻是很多人眼中的 iOS 越獄之神；他們是中國，也是世界上唯一公開承認(rèn)自己有能力越獄 iOS 10 的黑客團隊。

• iOS 的安全機制都有哪些？

• 越獄 iOS 究竟有多困難？

• 在開始研究 iOS 的日子里，盤古團隊曾遇到過那些困難？

• 剛剛公開的 iOS 9.3.3 越獄工具究竟牛在什么地方，竟然讓蘋果專門推送 iOS 9.3.4 來封堵漏洞？

• 目前盤古團隊越獄 iOS 的技術(shù)能力究竟有多強？

本次硬創(chuàng)公開課，我們獨家請到了盤古團隊（犇眾信息）的 創(chuàng)始人&CEO 韓爭光，聽他敞開心扉，聊一聊有關(guān)盤古越獄的一切！

【TB 韓爭光】

嘉賓介紹：

韓爭光 ，花名TB，盤古團隊（犇眾信息）創(chuàng)始人&CEO。

盤古團隊，是由多名資深安全研究人員組成的專業(yè)安全研究團隊。團隊因連續(xù)多次發(fā)布iOS完美越獄工具而聞名，是國內(nèi)首個自主實現(xiàn)蘋果iOS完美越獄的團隊，也是全球范圍內(nèi)第一個實現(xiàn)針對iOS 8和iOS 9系統(tǒng)完美越獄的團隊。

上海犇眾信息技術(shù)有限公司，是以盤古團隊為核心的自主創(chuàng)新型企業(yè)。在操作系統(tǒng)安全性研究、程序自動化分析、漏洞挖掘與攻防等研究領(lǐng)域有深厚基礎(chǔ)。公司創(chuàng)立于2014年，致力于移動互聯(lián)網(wǎng)安全技術(shù)研究和產(chǎn)品研發(fā)、為企業(yè)及個人用戶提供專業(yè)的安全服務(wù)和解決方案。

【盤古團隊核心成員合影】

盤古團隊的大牛們

雷鋒網(wǎng)宅客頻道：盤古團隊的核心成員都比較低調(diào)神秘，可以為我們介紹一下，團隊這些 iOS 越獄大牛都有哪些嗎？

我叫韓爭光，犇眾信息(aka 盤古團隊) 創(chuàng)始人&CEO，16歲那年考上哈爾濱理工大學(xué)，18歲肄業(yè)開始出來從事網(wǎng)絡(luò)安全工作，曾就職于《黑客防線》、Fortinet等安全公司，到現(xiàn)在超過15年的網(wǎng)絡(luò)安全從業(yè)經(jīng)驗了，基本上都是做安全技術(shù)方面的工作。

盤古團隊的 iOS 越獄核心成員有：徐昊、陳小波、李小軍、王鐵磊、曾凡宇。

• 徐昊，是上海交大的信息安全碩士；

• 陳小波，曾就職于啟明星辰積極防御實驗室、Mcafee、IntelSecurity、FireEye等安全公司從事資深網(wǎng)絡(luò)安全研究職位；

• 李小軍，是北京理工大學(xué)碩士，曾任啟明星辰助理總裁，負(fù)責(zé)啟明星辰積極防御實驗室；

• 王鐵磊，是我們這里學(xué)歷最高的，北京大學(xué)計算機系博士，美國Georgia Tech博士后。畢業(yè)論文獲得中國計算機學(xué)會優(yōu)秀博士論文獎，是國內(nèi)首個在IEEE S&P 、NDSS、TISSEC等頂級學(xué)術(shù)會議和期刊以第一作者發(fā)表論文的研究人員。2011年獲Secunia最有價值貢獻(xiàn)者獎；

• 曾凡宇，精通硬件，國內(nèi)早期著名的文曲星和魅族的研究者。國內(nèi)第一個實現(xiàn)Android系統(tǒng)移植到魅族M8的大牛。

其中除了曾凡宇側(cè)重硬件之外，其他基本上都做了10多年的漏洞挖掘和安全研究的工作。

雷鋒網(wǎng)宅客頻道：什么原因讓盤古團隊開始做 iOS 的越獄和安全研究？

其實對于普通用戶來說越獄技術(shù)比較神秘，但是對于網(wǎng)絡(luò)安全從業(yè)者來說，越獄就是系統(tǒng)層面的攻防。

最早盤古的核心都是國內(nèi)外安全行業(yè)從業(yè)10多年的資深研究人員，一直以來都在做漏洞挖掘方面的研究。大家對 iOS 比較感興趣，就弄了一個 QQ 群平時大家一起研究交流。2014年初的時候，大家稍微有了點時間，就開始折騰越獄，就這么一直折騰到現(xiàn)在。

雷鋒網(wǎng)宅客頻道：除了越獄，盤古團隊還“折騰”什么呢？

我們公司主要是做一些移動安全方面的研究和產(chǎn)品研發(fā)，主要是兩個方面：

第一是安全服務(wù)，側(cè)重于智能操作系統(tǒng)的風(fēng)險評估以及安全咨詢，智能設(shè)備、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)系統(tǒng)基本上都在做。

第二是做一些安全產(chǎn)品和平臺。例如前段時間 iOS 三叉戟 APT事件，我們的 iOS 設(shè)備安全檢測產(chǎn)品就可以不用升級就可以檢測到。

這個檢測產(chǎn)品主要是用來檢測 iOS 系統(tǒng)是否被人中過后門或者動過手腳。因為蘋果本身系統(tǒng)的封閉特性，所以沒有什么特殊的方式能夠檢測，只能以洞制洞，利用漏洞來提權(quán)并對整個系統(tǒng)進(jìn)行安全檢查。

另外，還有一個我們投入很大人力和精力在做的 Janus 平臺。

這個平臺的主要目的是通過自己寫一些簡單的檢測規(guī)則來我們的應(yīng)用數(shù)據(jù)庫中查找符合規(guī)則的應(yīng)用，例如以前出過的 XCode Ghost 和Worm Hole 事件，可以通過某些特征來查找所有存在這種問題的應(yīng)用。

Janus 主要依靠我們的移動應(yīng)用分析引擎來把我們搜集到的所有應(yīng)用進(jìn)行信息和行為提取，并進(jìn)行相關(guān)的索引和處理，存到我們云端數(shù)據(jù)庫中，然后提供一種自定義的規(guī)則語言來進(jìn)行檢索。這套平臺很快就能上線，主要目標(biāo)用戶群是移動安全研究員和惡意樣本分析工程師，目前我們內(nèi)部的同事在試用的過程中已經(jīng)依靠這個平臺發(fā)現(xiàn)了不少擁有大量用戶的移動應(yīng)用存在高危風(fēng)險和惡意行為。

破解 iOS 的安全機制有多難？

雷鋒網(wǎng)宅客頻道：可以從你的角度，為我們科普一下 iOS 的安全機制是怎樣的嗎？

iOS系統(tǒng)可以算是目前流行操作系統(tǒng)中安全最好的一個系統(tǒng)。從國外收購安全漏洞的公司給出的報價表中就可以看到 iOS 的漏洞價值最高，這也能從側(cè)面反映出 iOS 的安全性相對于其他系統(tǒng)來說要高。

【iOS 安全機制示意圖】

蘋果的安全機制也是一步一步在增加的，像早期做越獄難度就相對低一點，因為安全機制不健全導(dǎo)致比較容易突破。目前 iOS 的安全機制可以主要歸類為以下幾個方面：

1、系統(tǒng)啟動

蘋果在CPU中固化了一套 bootrom，這套系統(tǒng)是只讀的。也就是說這套系統(tǒng)出了問題，蘋果都沒辦法修復(fù)。這套 bootrom 內(nèi)置了一套蘋果的公鑰, 用于驗證和啟動 Low-level boot，然后Low-Level boot 啟動 iboot，iboot 啟動內(nèi)核。每一次啟動新的東西, 都會由啟動方校驗被啟動程序的合法和完整性。所以如果沒有 bootrom/iboot 級別的漏洞的話，基本上內(nèi)核在啟動完成之前是沒辦法篡改內(nèi)核的。

2、系統(tǒng)更新

iOS 刷機和更新系統(tǒng)完全由蘋果來控制，用戶不能隨意降級。iOS 系統(tǒng)在升級過程中會對刷入設(shè)備的各個部分（LLB、iBoot、內(nèi)核、系統(tǒng)文件、基帶等）進(jìn)行聯(lián)網(wǎng)校驗。校驗通過，會針對每臺設(shè)備生成不同的簽名，在系統(tǒng)處理刷機的時候，會對這些刷進(jìn)去的內(nèi)容和簽名再進(jìn)行校驗，校驗失敗就不允許刷入設(shè)備。在以前到服務(wù)器的請求是可以進(jìn)行重放攻擊的?，F(xiàn)在這個漏洞也被封掉了，采用的方法是：給每一次的請求加一個隨機值，這樣就能防止重放攻擊。

系統(tǒng)更新的這個安全限制也保障了大部分用戶只能升級到漏洞較少風(fēng)險較低的新版本。

3、代碼簽名

蘋果系統(tǒng)上所有內(nèi)置的程序和應(yīng)用市場上的程序都是蘋果簽名的，任何第三方未經(jīng)蘋果簽名的應(yīng)用程序是不能運行的。就算你使用蘋果頒發(fā)的代碼簽名證書進(jìn)行簽名，一旦蘋果發(fā)現(xiàn)你的證書被用于非授權(quán)的行為后，也可以對其進(jìn)行吊銷。

4、沙盒

運行在蘋果系統(tǒng)上的第三方應(yīng)用都是運行在沙盒保護(hù)下的，任何一個程序只能調(diào)用有限的系統(tǒng)允許的API，每個沙盒中的程序只能訪問自己的文檔路徑。這樣就能保證沙盒中的程序訪問和修改不了其他應(yīng)用和系統(tǒng)的文件。

5、數(shù)據(jù)保護(hù)

蘋果在數(shù)據(jù)保護(hù)層面做了很多事情，所有數(shù)據(jù)在硬盤上都是加密存儲，拆硬盤根本讀不到任何有用的數(shù)據(jù)。如同上一次 FBI 和蘋果之戰(zhàn)我們寫的技術(shù)分析文章一樣，蘋果對于磁盤上存儲的數(shù)據(jù)使用了多套保護(hù)措施。

首先，有一個加密文件使用的 key 被存放在某塊特定區(qū)域，然后使用 passcode 對其進(jìn)行保護(hù)，只有在驗證了 passcode 有效性后，加密文件使用的 key 才能正確解密，系統(tǒng)才能正確讀取這些數(shù)據(jù)文件。以前在32位設(shè)備上還有暴力破解 passcode 的可能性。在64位設(shè)備發(fā)布后，iOS 系統(tǒng)把防止暴力破解的模塊移動到新增加的安全芯片中了。

還有些需要保密的數(shù)據(jù)（例如系統(tǒng)的wifi、mail、vpn的密碼等，以及第三方應(yīng)用的一些登錄憑證），存放在keychain中，keychain數(shù)據(jù)拿到其他設(shè)備上也是不能進(jìn)行解密的，它是跟原設(shè)備的cpu進(jìn)行綁定的，每個cpu在出廠的時候都有不同加密秘鑰，蘋果對這些秘鑰也不進(jìn)行存儲。

6、隱私保護(hù)

隱私保護(hù)包括 Wi-Fi 地址隨機化、倡導(dǎo)啟用 https 等等。

以前有很多營銷的工具, 可以檢測出店鋪的客流量以及回頭客, 這個主要是檢測手機的 Wi-Fi 的 MAC 地址。蘋果啟用了 Wi-Fi 地址隨機化后，就能防止用戶設(shè)備通過 Wi-Fi 層面被跟蹤。

啟用 https 也是基于現(xiàn)在的移動應(yīng)用情況。雖然 https 會讓服務(wù)提供商的成本增加，但是相對于 http 增加了通信加密的能力，防止用戶和服務(wù)端的通信被嗅探、被中間人的可能。

7、利用緩解技術(shù)

我們一般說越獄是需要使用漏洞的，漏洞也分為可被利用不可被利用，利用技術(shù)也有很大的不同。蘋果除了修補漏洞外，也增加了很多緩解利用的手段，有些手段可能就完全杜絕了一個類型漏洞的利用可能。

例如，蘋果在 iOS 系統(tǒng)上啟用了棧溢出保護(hù)、數(shù)據(jù)執(zhí)行保護(hù) DEP、地址隨機化、內(nèi)核補丁保護(hù)等等技術(shù)。這里主要講一下地址隨機化和iOS9中新增加的 KPP 保護(hù)。

這是我們之前在 Blackhat 演講中的 iOS 安全機制演進(jìn)示意圖：

【iOS 安全機制演進(jìn)示意圖】

地址隨機化：

可以看到蘋果在 4.3 中增加了 ASLR，ASLR 的意思就是地址隨機化；6 中增加了 KASLR，KASLR 多了一個K代表的是內(nèi)核。

以前有某個溢出漏洞，就可以直接寫利用，通過調(diào)用固定偏移量的函數(shù)來實現(xiàn)利用。但是增加了地址隨機化以后，對于以前要調(diào)用的函數(shù)的地址的偏移量就變成未知了，所以要想辦法確定內(nèi)核隨機化后的地址分布，就要多結(jié)合一個能夠泄露地址的漏洞，這個漏洞就叫做信息泄露漏洞。所以這個地址隨機化帶來的破解難度也相應(yīng)增加了。

KPP 內(nèi)核防補丁技術(shù)：

這個技術(shù)在 iOS 9 上首次被啟用，但是僅限于64位設(shè)備。主要是因為這個技術(shù)是要依靠64位設(shè)備上新增加的安全芯片來實現(xiàn)的。如果這個技術(shù)還是通過內(nèi)核來實現(xiàn)的話，完全就沒有意義。因為內(nèi)核我都能 Patch 的話，那這個功能我也能 Patch 掉。所以在硬件上來實現(xiàn)，突破的可能性就變得很小。

我們在 iOS9 中利用一些技巧繞過了 KPP 的檢測。

雷鋒網(wǎng)宅客頻道：對于盤古來說，做到越獄，最大的難度在哪里？

最大的難度主要是兩個方面:

1、要找到繞過各種保護(hù)手段的漏洞來組合一套越獄。例如：繞過沙盒，代碼執(zhí)行，提權(quán)，信息泄露，代碼簽名等，如果不能組合一套，就算某一個類型的漏洞再多也不行。

2、除了一套完整的漏洞組合，還要有想到各種“奇技淫巧”。像我們 iOS 8 和 iOS 9 越獄都是全球首發(fā)，那么 iOS 8 和 iOS 9 新增加的安全機制和利用緩解機制，我們就要絞盡腦汁去想辦法繞過。這個沒有歷史經(jīng)驗可以參考和學(xué)習(xí)，例如我們在 iOS 8 中繞過 TeamID 的技巧。

雷鋒網(wǎng)宅客頻道：作為熟悉 Android 和 iOS 這兩種系統(tǒng)的大牛，這兩種系統(tǒng)的安全機制在你眼中有什么區(qū)別嗎？

其實很多系統(tǒng)有些安全機制都是相通的，Windows/Linux/Mac/Android/iOS 等等。現(xiàn)在安卓的安全機制也在逐漸向iOS靠攏，我覺得安卓現(xiàn)在最欠缺的主要是兩塊，這個也可能跟安卓的定位有關(guān)系。

第一是數(shù)據(jù)保護(hù)。安卓存在硬盤和存儲卡中的數(shù)據(jù)完全未加密，通過拆解硬盤或者直接讀取存儲卡就能獲取數(shù)據(jù)。而在蘋果上，即使拆了硬盤你也讀不到有用的數(shù)據(jù)。

第二個就是代碼簽名的問題。安卓的代碼簽名機制感覺是個擺設(shè)，目前看來主要的作用就是完整性的校驗。因為所有人都可以自己生成一套代碼簽名的證書對代碼進(jìn)行簽名，這個也是目前惡意軟件泛濫的原因。沒有一套良好的證書管理體系，這個簽名的作用就不大。

當(dāng)然還有其他的一些問題。

例如安卓的權(quán)限開放的太多了，像短信這種非常隱私的數(shù)據(jù)，任何程序都能去讀取。這也導(dǎo)致了目前盜取短信的木馬泛濫，據(jù)說幾百塊錢就能定制一套安卓木馬。

還有一個難點就是：碎片化太嚴(yán)重。廠商太多，有些廠商在新機發(fā)布后，系統(tǒng)只保持一年的更新。一年后這個機型的系統(tǒng)就完全得不到升級了，那么有漏洞也就沒辦法修補了。

【盤古團隊在頂級黑客大會 Black Hat 上做演講，圖為徐昊（左）和王鐵磊（右）】

有關(guān)盤古越獄的一切

雷鋒網(wǎng)宅客頻道：在盤古最初做越獄的時候，有遇到一些巨大的困難嗎？

因為之前越獄都是國外的安全研究人員在做。所以剛開始接觸的時候，研究資料非常匱乏，學(xué)習(xí)和研究的難度都比較大。而且我們開始研究的時候，iOS 版本已經(jīng)是第7個大版本了，基本上能上的安全機制都已經(jīng)上了。

舉例來說的話，如果還是 iOS 3/4 的時代，一個月出一個越獄都不成問題。畢竟1-2個漏洞就能實現(xiàn)越獄。

我還記得，在第一次發(fā)布越獄前，剛開始有點成果的時候，就在微博上發(fā)了截圖和視頻。其實當(dāng)時還沒完全搞完，但是各種罵聲都來了，基本上大部分的人都在說我們是騙子。

第一次越獄發(fā)布后，有人質(zhì)疑漏洞或者越獄是花錢買來的，當(dāng)時我還寫了一篇微博長文回應(yīng)。另外還有些老外在質(zhì)疑中國人開發(fā)的程序是否有后門。

但是，當(dāng)我們第二次發(fā)布越獄后，這些質(zhì)疑聲基本都沒了。而且從那時開始，我們已經(jīng)在國外的越獄圈和安全權(quán)有了良好的口碑。到了如今，肯定更沒有人質(zhì)疑我們的能力了。

現(xiàn)在，我們也會把每次越獄的一些技術(shù)和研究的細(xì)節(jié)拿到全球最大的黑客大會上去分享，例如BlackHat、CanSecWest 等。另外像我們今年7月1號舉辦的第二屆 MOSEC 移動安全技術(shù)峰會，國外很多公司，例如微軟、蘋果都派人來參加了。

【盤古放出 iOS 9.2-9.3.3 越獄工具】

雷鋒網(wǎng)宅客頻道：說說前不久盤古團隊剛剛放出的 iOS 9.3.3越獄工具吧，在這個越獄工具的背后，有什么不為人知的故事嗎？

剛才說的越獄最大的難度就在于如何找到一套能夠配合的漏洞組合。大部分時候越獄需要5個左右的安全漏洞配合。而這一次 9.3.3 的越獄我們僅僅需要一個漏洞即可。

因為這個漏洞擁有信息泄露、沙盒繞過、代碼執(zhí)行、權(quán)限提升漏洞的所有能力，并且還能繞過蘋果的審核上架。像這種漏洞完全不會比三叉戟的漏洞弱，所以蘋果專門為了這一個漏洞緊急發(fā)布了一個 9.3.4 的更新。

雷鋒網(wǎng)宅客頻道：據(jù)說這次越獄工具比之前的都要完美，可以從技術(shù)上解讀一下，這次越獄工具完美在什么地方嗎？

其實過去的所謂的完美越獄和不完美越獄，只是翻譯的國外的英文“Untethered Jailbreak/Tethered Jailbreak”, 這兩個越獄的差別主要是一個不需要連接電腦引導(dǎo)開機，一個需要連接電腦引導(dǎo)開機。

我們這一次也是想嘗試一種新的方式，盡量不修改系統(tǒng)文件，讓用戶可以隨意切換越獄和正常系統(tǒng)模式。例如以前的完美越獄沒有辦法恢復(fù)出廠設(shè)置，我們這一次的越獄完全可以恢復(fù)出廠設(shè)置。一般用戶基本上很久不會關(guān)機的，重啟后只需要點擊APP運行就可以獲取越獄能力。

這是我們的創(chuàng)舉，以前越獄的設(shè)備是不能恢復(fù)出廠的，一恢復(fù)就白蘋果。

雷鋒網(wǎng)宅客頻道：在這些年的安全研究中，有沒有比較失敗的經(jīng)歷呢？

失敗倒算不上，不過傷心的事情很多。我們這些年被撞和被封的漏洞也比較多。

所謂被撞，就是其他安全研究人員也發(fā)現(xiàn)了同一個漏洞，報告給蘋果，或者是通過其他渠道蘋果獲得了漏洞細(xì)節(jié)然后進(jìn)行修補。

所謂被封，一般都是蘋果內(nèi)部自己的發(fā)現(xiàn)的問題，或者無意中增加功能或者刪減功能導(dǎo)致漏洞不存在了，還有一些應(yīng)該算是利用方式被修補了。

算下來這些被撞和被補的漏洞，加起來都夠好幾套越獄了。尤其是蘋果推出了Apple Pay以后，他們在安全方面投入也在加大。

但是對我們來說這樣也好。難度越高就越有挑戰(zhàn)，攻防向來都是一體的，從攻擊學(xué)如何防御，從防御來想如何繞過防御達(dá)到攻擊的目的，這是一個雙方不斷博弈的過程，在博弈中會讓系統(tǒng)變得更加安全。

盤古團隊 VS iOS 10

雷鋒網(wǎng)宅客頻道：對于 iOS 10，盤古團隊是否有越獄的能力呢？

iOS 10 的正式版估計跟 10.0.1 GM 一樣，這個版本我已經(jīng)用了好幾天了。

iOS 10 的安全性變化也很大，簡單來說就是攻擊面縮小了。而且10已經(jīng)修補了我們在 9.3.3 中繞過KPP的技巧，另外沙盒也增強了。

不過，我們已經(jīng)在 iOS 10.0.1 GM 上成功運行 Cydia 了，現(xiàn)在我們還有很多細(xì)節(jié)要繼續(xù)研究和修補，你知道越獄不光是為了突破安全保護(hù)，還要想辦法配合 Cydia 和 CydiaSubstrate，讓他們能夠正常運行。

【陳小波在國內(nèi)黑客大會 Xpwn 上展示越獄 iOS 10 Beta 8】

雷鋒網(wǎng)宅客頻道：也就是說 iOS 10 正式版，應(yīng)該是很有把握可以越獄啦？

目前從我們研究的成果來說，答案是肯定的。

雷鋒網(wǎng)宅客頻道：可以說說研究iOS 10 各個 Beta 版本的過程中，有哪些有趣的故事嗎？

在7月1日我們舉辦 MOSEC 的時候，曾經(jīng)演示過 iOS 10 Beta 1 的越獄；

另外，我們本來準(zhǔn)備在 Xpwn 上演示越獄 iOS 10 beta 7 的，但是就在 Xpwn 舉辦前兩天，蘋果突然發(fā)布了 iOS 10 Beta 8。于是我們又花了兩天時間，準(zhǔn)備了iOS 10 Beta 8 的越獄演示。

新系統(tǒng)（iOS 10）新增加的安全機制一直以來都是個挑戰(zhàn)，因為未知的東西比較多，所以只有嘗試后，才能知道增加了什么機制。

不過相比最開始我們做越獄來說，越獄 iOS 10 難度有所降低。畢竟我們手里已經(jīng)有能用于研究的漏洞了。如果手里沒有這些漏洞，新系統(tǒng)的安全研究根本無從下手。

這個就像我們把一般測試分為黑盒測試和白盒測試一樣。

我們最早期的研究類似于黑盒測試，沒有任何積累，兩眼一抹黑；

我們現(xiàn)在的測試更像灰盒測試，利用手里已經(jīng)有的漏洞和經(jīng)驗積累，相對來說會稍微容易點。

不過說起來感覺輕松，但是實際上不輕松，這也是靠很久的經(jīng)驗積累才能達(dá)到現(xiàn)在的結(jié)果。

【盤古團隊成員 徐昊 陳小波 王鐵磊】

雷鋒網(wǎng)宅客頻道：從你的角度看，盤古對 iOS 10 的越獄能力究竟處于什么狀態(tài)？

從 iOS 8 開始，我們一直都保持著對iOS最新版持續(xù)越獄的能力，這個能力主要用于后面的研究。多強這個不太好衡量，但是能持續(xù)越獄和研究對我們來說就夠了。

從全世界來看，做 iOS 安全研究的本來也不會很多。因為相對于其他系統(tǒng)來說，iOS 的門檻確實較高。不過能做的安全研究人員據(jù)我所知，能力都很不錯。我們的目標(biāo)一直都是保持在最前列，新出來的安全技術(shù)能夠第一時間就能分析出細(xì)節(jié)。

雷鋒網(wǎng)宅客頻道：接下來是一個重磅問題，盤古會不會發(fā) iOS 10 的越獄工具？

這是一個頭疼的問題，按照以往我們的慣例，我們從來不在發(fā)布前劇透。主要是因為我都不知道什么時候會發(fā)布，這個取決于很多因素，要綜合考慮才會有結(jié)果。

這些因素包括：

蘋果系統(tǒng)版本的穩(wěn)定性如何？

受眾有多少？

我們手里的儲備是否允許我們公開漏洞？

。。。

例如：一般 iOS 10.0.1 這種盤古肯定不會發(fā)布越獄工具，因為這是第一個版本，穩(wěn)定性還不夠。

另外例如：iPhone 7 很多用戶還沒拿到手，我們發(fā)了也沒有意義。

如果我們手里又多找到一套漏洞，也可能促使我們發(fā)布越獄工具。

雷鋒網(wǎng)宅客頻道：江湖上傳說，盤古在保持兩套或兩套以上的越獄漏洞的時候，才會發(fā)布越獄工具，是這樣嗎？現(xiàn)在盤古手里有多少套越獄 iOS 10 的漏洞呢？方便透露嗎？

（兩套漏洞）這也是一個衡量的標(biāo)準(zhǔn)吧。畢竟保留一套在手里，被封和被撞的可能性會比較大，對后續(xù)的研究也會造成影響，所以有兩套以上心里會更有底氣。

目前來說，我們手中的越獄漏洞算有兩套吧，另外有一套還在弄。

【盤古（犇眾）研發(fā)的設(shè)備安全檢測產(chǎn)品】

盤古還在攢什么大招？

雷鋒網(wǎng)宅客頻道：盤古屬于“一言不合就放大招”的風(fēng)格，那么盤古在未來還會放哪些大招呢？

我們安全研究團隊現(xiàn)在規(guī)模也不小，iOS研究只是一塊，很多操作系統(tǒng)的安全都是我們的研究方向，像我們實驗室的聞觀行今年就給Adobe報告了幾十個Flash的漏洞。另外在內(nèi)部我們還會持續(xù)地培養(yǎng)新人，畢竟目前國內(nèi)能做這種底層系統(tǒng)的安全研究人員很少。

之前說的Janus就是我們公司的一個超級大招。我們投入了大量的安全研究人員和開發(fā)人員來做這套移動系統(tǒng)應(yīng)用的分析平臺。我們把我們對移動應(yīng)用安全研究的能力和一些自動化分析工具整合起來，結(jié)合大數(shù)據(jù)平臺，提供給安全研究人員和惡意程序分析人員使用。

舉兩個例子：

1. 如果某個安全研究人員在移動應(yīng)用中找到一個漏洞，通過把這個漏洞的特征規(guī)則化，然后在我們平臺上進(jìn)行檢索，我們可以把符合這個漏洞特征的所有應(yīng)用都能很快速度的列舉出來。

2. 如果某個惡意樣本分析人員，發(fā)現(xiàn)了某一個惡意樣本，他同樣也可以把惡意行為規(guī)則化，然后來檢索，這樣就能把所有的惡意程序都能列舉出來。

這里面還結(jié)合了一些第三方的威脅情報，跟我們的系統(tǒng)整合進(jìn)行關(guān)聯(lián)分析，這樣做可以大幅度提升移動應(yīng)用市場的安全性和減少惡意程序的傳播途徑。我們也會跟運營商和國家相關(guān)部門合作，爭取能夠最大限度地保護(hù)用戶隱私和數(shù)據(jù)。

【Janus 平臺工作界面】

精彩問答

Q：現(xiàn)在使用盤古越獄工具越來越容易，那么普通用戶越獄后，可能使手機處于不安全狀態(tài)，對此你有什么建議？

這個就是自由和不自由的代價了，例如 Windows 平臺任何軟件都能安裝，病毒也很多，但是并不能成為不用的理由。

越獄是為了想達(dá)到自由，首先肯定有安全性的降低，這個是毋庸置疑的。但是不是所有安全機制都會被破壞，嚴(yán)格意義上來說，越獄只是取消了蘋果代碼簽名的驗證。所以如果普通用戶又想越獄，又想安全，那就安裝第三方插件或者軟件的時候，盡量選擇可信的源安裝即可。

此外，iOS 的沙盒機制我們并沒有破壞，正常商店安裝的應(yīng)用還是拿不到系統(tǒng)權(quán)限的，只有你通過 Cydia 安裝的一些插件和應(yīng)用才會有能力做破壞的事情，這個還是要靠經(jīng)驗，就像我 Windows 從來不安裝任何殺毒軟件，但是基本上也不會中病毒。

Q：現(xiàn)在的越獄是否會影響到Apple Pay的安全性？

蘋果的applepay是可以離線使用的，所有的信息都是存在單獨的安全硬件中。Apple Pay的安全性是由底層硬件提供的，這個系統(tǒng)做不到干涉。就算越獄了，想獲取你的信用卡信息還是沒辦法做到。

Q：越獄團隊核心成語是如何分工的，比如發(fā)現(xiàn)了漏洞誰寫 Poc寫 Exploit，有明確分工嗎？還有盤古都是宣傳那5位大牛，就沒新人就沒發(fā)現(xiàn)iOS方面的漏洞來嗎？還是想藏起來？

這個要看個人的專注方向和經(jīng)驗，有的同事是硬件比較熟悉，有的同事是利用寫的好，有的是找漏洞有經(jīng)驗，按照專注方向來分工，有可能找漏洞的同事不善于寫利用的話，那他就寫poc就可以了，其他的交給經(jīng)驗豐富的人來做。

新來的同事有的是負(fù)責(zé)其他方向。例如 Windows/Flash 等等，他們報給官方的信息也會帶有個人信息，我們的對外宣傳也不會隱藏他們。例如我們過段時間就有一個新同事要去BlackHat 歐洲去演講了。

Q：如果想成為盤古團隊一樣的大牛，應(yīng)該怎樣努力呢？

我們所做的iOS安全研究，需要的知識比較多，包括 ARM、ARM64、操作系統(tǒng)底層，還有些其他平臺上積累的安全研究經(jīng)驗。

凡是牽扯到二進(jìn)制研究的，門檻都不會低，而且時間成本也很高。這個必須要有興趣，而且還要耐得住性子，有可能學(xué)了一年什么成果都不會有。

很多人都是通過別人寫的工具，進(jìn)入這個行業(yè)，那么想走的深，就要研究更底層的原理。如果只是一味的用工具，而不能轉(zhuǎn)變思路的話，那么這個人自己本身也不適合在這個行業(yè)深入發(fā)展。

當(dāng)然，如果有同學(xué)對盤古和犇眾感興趣，想要成為我們的一員，也可以登錄我們的網(wǎng)站來看看。

http://pwnzen.com 

本次演講到此結(jié)束。更多大牛開講，請繼續(xù)關(guān)注“宅客頻道”。

宅客『Letshome』

雷鋒網(wǎng)旗下業(yè)界報道公眾號。

專注先鋒科技領(lǐng)域，講述黑客背后的故事。

相關(guān)文章：

Twitter CEO Twitter賬戶被黑，盤古越獄 iOS 10 | 宅客周刊

iOS?9.1&watchOS?2.0.1更新體驗?盤古越獄恐成最大輸家

盤古越獄for iOS 8的下載頁面曝光

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。