想必讀者們已經(jīng)在雷鋒網(wǎng)（公眾號：雷鋒網(wǎng)）看到了關(guān)于iOS 10.1.1 系統(tǒng)“激活鎖”被繞過漏洞的報道（見于雷鋒網(wǎng)昨日報道：《iOS 10.1發(fā)現(xiàn)新漏洞：可繞過“激活鎖”強(qiáng)行進(jìn)入主屏》）

本著求真和好奇的心態(tài)，此次宅客頻道將帶領(lǐng)讀者們講述此次事件的來龍去脈、破解流程以及相關(guān)細(xì)節(jié)，試圖將完整的故事呈現(xiàn)給讀者們，讓讀者了解到：

• 漏洞是什么，可導(dǎo)致何種后果？

• 這個漏洞最早是如何被發(fā)現(xiàn)的?

• 復(fù)現(xiàn)漏洞的具體步驟是怎樣的?

• 我們是否會受影響，該怎么做?

該漏洞有何后果？

從iOS 7開始，蘋果設(shè)備就具有一項(xiàng)“激活鎖”功能， 當(dāng)用戶的設(shè)備不慎被偷，只要激活"丟失模式”（Lost mode），盜竊者在沒有得到合法機(jī)主許可就無法激活設(shè)備到正常工作狀態(tài)，這使得丟失的蘋果設(shè)備很難被直接轉(zhuǎn)賣，不僅提高安全性還降低了失竊率。

這也是許多人在丟失蘋果設(shè)備后都收到釣魚短信及郵件的原因——盜竊者試圖騙取APPID賬號密碼來解鎖設(shè)備。

然而，此漏洞的出現(xiàn)，意味著任何人都可以繞過“激活鎖”直接重置該設(shè)備，讓丟失模式形同虛設(shè)！盜竊者可以利用該漏洞將一些非法獲得的設(shè)備直接解鎖后重新售賣或自行使用。簡而言之，當(dāng)你的設(shè)備丟失，你更難將它找回了。

那么這個漏洞是如何被發(fā)現(xiàn)的呢？

據(jù)外媒報道，該漏洞最早是由印度安全專家赫門特·約瑟夫（Hemant Joseph）發(fā)現(xiàn)的，于是宅客頻道（公眾號：宅客頻道）通過博客了解到破解的全部操作流程。

iOS 10.1漏洞發(fā)現(xiàn)，源于被坑的購物經(jīng)歷

赫門特給朋友網(wǎng)購了一個iPad，哪知設(shè)備剛到手，卻發(fā)現(xiàn)被開啟了“丟失模式”，發(fā)現(xiàn)連接WiFi之后，設(shè)備會要求輸入之前機(jī)主的APPID賬號密碼。赫門特這才知道，自己花了許多時間挑選iPad，最后卻買回來一塊“磚頭”——他覺得自己被徹頭徹尾地耍了，簡直不能忍！

“自己動手，豐衣足食”，作為安全專家的赫門特決定發(fā)揮自己的聰明才智對iPad進(jìn)行破解，他立刻想到了讓設(shè)備緩沖區(qū)溢出的方法。

以下為赫門特個人博客中對破解過程的描述：

我在WiFi網(wǎng)絡(luò)選項(xiàng)中，選擇“連接另一個網(wǎng)絡(luò)”。

跳轉(zhuǎn)到一個要求輸入用戶名的登錄框。

以上只有一個輸入字段，如果有字符限制的話，比較難引發(fā)內(nèi)存緩沖區(qū)溢出。但如果點(diǎn)擊“安全選項(xiàng)”，選擇安全協(xié)議WEP，就有另一個WPA WPA2企業(yè)版的選項(xiàng)出現(xiàn)。

我選擇WP2企業(yè)版，這時會出現(xiàn)三個輸入框：名稱、用戶名和密碼，然后我很驚奇地發(fā)現(xiàn)，這里居然沒有限制字符長度，可以肆無忌憚地輸入，真是太適合用來造成內(nèi)存緩沖區(qū)溢出的情況了！

一直復(fù)制粘貼輸入字符，直到設(shè)備卡住。

我等了一會兒，看看是恢復(fù)正常還是軟件崩潰，結(jié)果既沒有崩潰也沒有恢復(fù)，一直卡著。又等了一會，我按下了解鎖按鈕，結(jié)果它把我?guī)Щ氐揭婚_始的歡迎屏幕了 :( 

WTF ？（心中一萬頭羊駝奔過）

第一次嘗試破解失敗后，赫門特沒有放棄，開始第二次嘗試：

思考了一會如何誘發(fā)程序崩潰讓它跳到主屏幕上，我想到了利用iPad外殼（iPad smart Case）的自動喚醒功能來試試，因?yàn)榭梢岳盟倪@個特性：當(dāng)我們用蓋上外殼蓋來關(guān)閉屏幕，再打開外殼蓋，它會重現(xiàn)之前關(guān)閉之前的屏幕，繼續(xù)剛才的工作請求。

于是我重復(fù)了剛才的操作，在最后一步iPad卡死的時候，蓋上外殼蓋子，然后過一會兒再打開。

過了大概20~25秒，iPad出現(xiàn)了軟件崩潰，然后把我?guī)У搅酥髌聊唬瑥亩@過了所謂的“激活鎖”，成功！

由此可以看出，這里出現(xiàn)的漏洞的主要原因在于：連接WiFi時的輸入框限制輸入字符的長度，而在實(shí)際使用當(dāng)中，沒有人會使用一個超過1000個字符來當(dāng)賬號或密碼。

看到這里，可能有些讀者已經(jīng)想找一臺iPad來親身體驗(yàn)一把了，不過你們可能不會成功，因?yàn)榘l(fā)現(xiàn)該漏洞的印度專家赫門非常耿直，發(fā)現(xiàn)漏洞后立馬寫郵件告訴了蘋果官方，并很快得到了蘋果官方的回復(fù)。

蘋果很快推出了iOS 10.1.1 的版本更新，修復(fù)了該漏洞，因此該漏洞只可能在iOS 10.1 或者更早的版本中復(fù)現(xiàn)。

然而，“繞過風(fēng)波”并沒有就此結(jié)束。

研究員不依不撓，新版本仍能被破解

Vulnerability Lab實(shí)驗(yàn)室的研究人員也對此問題進(jìn)行分析后，發(fā)現(xiàn)利用屏幕旋轉(zhuǎn)和Night Shift（自動調(diào)整屏幕色溫）功能可在iOS 10.1.1系統(tǒng)中重現(xiàn)這個漏洞。

他們提供了一段成功破解的視頻：

宅客頻道發(fā)現(xiàn)，在視頻演示中，主要區(qū)別于破解iOS 10.1繞過漏洞的地方主要在于：

• 輸入的字符使用了emoji表情等特殊字符

• 在最后一個中反復(fù)使用了智能外殼和屏幕旋轉(zhuǎn)功能

• 需要很精準(zhǔn)地把握好關(guān)鍵操作的時間點(diǎn)：在某個瞬間設(shè)備會出現(xiàn)不到一秒的主屏幕，這時需要適時按下Home鍵才可以完全繞過激活鎖，這一時機(jī)很難把握。

宅客頻道編輯找來了一個裝載iOS 10.1.1系統(tǒng)的iPad mini 2 , 嘗試復(fù)現(xiàn)該漏洞，但不知是由于沒有把握好時機(jī)，嘗試多次后并沒有成功解鎖設(shè)備。然而在國外社交媒體上有網(wǎng)友表示自己按照視頻演示，成功破解了iPad mini 2（同樣嘗試了好幾次）。

目前，宅客頻道還沒有發(fā)現(xiàn)任何成功利用此方式破解iPhone設(shè)備的案例。在國外一名研究員安德魯·坎寧安的報道中，他也發(fā)現(xiàn)了相同的情況：

根據(jù)這個視頻，我們能夠在運(yùn)行iOS 10.1.1的iPad Mini 2上重現(xiàn)該問題，然而在我們的測試中，我們無法在運(yùn)行iOS 10.1.1 的iPhone 5設(shè)備中重現(xiàn)這個bug，在實(shí)驗(yàn)中，iPhone沒有向iPad那樣旋轉(zhuǎn)為橫屏模式，也沒辦法用智能外殼來控制屏幕的開關(guān)。

由此看來，該漏洞在iPad上也需要一定的技巧才能復(fù)現(xiàn)，而在iPhone上幾乎無法實(shí)現(xiàn)，因此人們其實(shí)并不必為這個漏洞太過擔(dān)心，并且相信蘋果公司也將會在接下來推出的iOS 10.2的版本更新中修復(fù)該問題。

我們該怎么做？

針對此問題，國外相關(guān)安全機(jī)構(gòu)給出了一些建議：

• 當(dāng)蘋果為這個錯誤提供了一個補(bǔ)丁后，盡快安裝它。

• 日常蘋果設(shè)備丟失，對方可能不會去惡意破解，但盡可能為之設(shè)置一個安全的PIN碼或鎖屏密碼，以確保安全。

不過對于此次“激活鎖”繞過漏洞，宅客頻道有個更直接有效的終極建議：看好你的機(jī)器設(shè)備，別把它弄丟了。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。