昨天,蘋果猝不及防地釋出了 ios 9.3.5,在更新說明中,有且隻有一條:提供了重要的安全性更新,推薦所有使用者安裝。
沒想到,這次低調的更新卻牽出了 ios 曆史上最大的漏洞。
先科普一下,ios 的安全級别大緻分為應用層、系統層和核心層(層級越高,權限越大)。而如果想要越獄一部 iphone,實際上是拿到核心權限。這需要逐層突破層層守衛,是以越獄往往需要幾個漏洞層層配合才能實作。
早在蘋果釋出此次安全性更新的前一天,以曝光大規模監視任務為己任的,多倫多蒙克全球事務學院的公民實驗室就釋出了關于發現蘋果 0day 漏洞的詳細研究報告,并将它們命名為“三叉戟”漏洞。這組漏洞究竟有多牛x呢?
1、這組漏洞全部是 0day 漏洞。即在曝光之前,除了漏洞的發現者,沒有任何人知道這個漏洞的存在; 2、使用者隻需要輕輕點選黑客發來的的連結,手機就會被遠端越獄。黑客瞬間獲得手機的最高權限; 3、利用最高權限,黑客可以遠端對使用者的iphone進行操作、控制,檢視手機攝像頭、竊聽使用者談話和錄音、檢視使用者的應用資訊,可以說是為所欲為。
講真,利用一個連結,就可以徹底控制你的 iphone,這種級别的 ios 漏洞,一直是個江湖傳說。人們經常說起,但就是沒有人見過。
那麼這組漏洞究竟為神馬被曝光出來呢?故事的起因是這樣的:
最初給公民實驗室提供線索的是阿拉伯人權鬥士曼蘇爾。8月10日與11日,曼蘇爾收到了兩條聲稱含有囚犯在阿聯酋監獄中遭到折磨的“秘密”,點選文中連結即可檢視。曼蘇爾覺得此事蹊跷,把線索提供給了公民實驗室,公民實驗室從連結順藤摸瓜,挖出了“幕後黑手”nso group。
曼蘇爾收到的兩條短信
據江湖傳言,一直盯着ios系統的黑客們似乎知道有這種漏洞的存在,但在lookout 與公民實驗室釋出研究報告之前,從未有人親眼見過這個漏洞的存在。世界著名漏洞軍火商 zerodium 也曾花100w刀成功收購過類似的漏洞,但不知道是否與此次報告中的漏洞有關。
雷鋒網在第一時間采訪到了國内頂級 ios 越獄團隊盤古的核心成員 dm557(陳曉波),他們也是目前全球唯一(公開表示)擁有越獄ios 10 beta 的團隊。
dm557 為我們還原了這種“遠端越獄”的全過程:
1、攻擊者首先通過 sms 短信把一個連結發送給目标任務,當目标任務點選連結之後,會通路攻擊者的一個網站。 2、攻擊者的網站上會放置一個針對 mobile safari 的攻擊程式,這個程式中,包含了mobilesafari javascript 引擎的一個 0day 漏洞。 3、攻擊程式被執行之後,攻擊者會通過浏覽器獲得手機的執行權限。此時攻擊者的權限還隻是被囚禁在沙盒之内。 4、接下來,攻擊者通過兩個核心漏洞(一個核心資訊洩露漏洞+一個核心代碼執行漏洞)獲得核心執行權限。 5、獲得核心執行權限後,攻擊者就完成了手機越獄。這時他會關閉一些ios的安全保護機制,比如開啟rootfs的讀寫,關閉代碼簽名等等。 6、完成攻擊之後,入侵者就成為了手機的“主人”,可以實作對手機通信、流量的全面監聽。
通過漏洞可擷取的資訊圖示
另外,作為越獄大神,dm557 也沒有吝惜對這種越獄的贊賞之情。:
這個 javascript 漏洞是可以在系統開機的時候攻擊ios系統。也就是說系統重新開機的時候,還會走一遍攻擊流程,這有點類似之前的“完美越獄”。
雷鋒網(公衆号:雷鋒網)也采訪到了專注 ios 安全研究的 360 涅槃團隊負責人高雪峰,他告訴雷鋒網,
在 ios 的早期,遠端越獄是曾經實作過的,但是上一次有黑客團隊實作對 ios 的遠端越獄,還是 ios 4.3.3時代。 黑客 comex 釋出的遠端越獄工具,在safari浏覽器通路
ios 4.3.3,已經是2011年的往事了。高雪峰強調:
ios 在每一次大版本的更新中,幾乎都會加入一個非常有力的安全防護機制,如今五年過去,遠端越獄 ios 的難度成幾何數級增長,尤其是 ios 7 之後,這種級别的漏洞幾乎絕迹,是以遠端越獄的難度根本不能同日而語。 意大利小子 luca 曾經放出過一段視訊,是通過safari越獄 ios 9.3.2,但是在市面上是沒有的。
【cve-2016-4655 cve-2016-4656 cve-2016-4657 分别為webkit漏洞,使用者點選漏洞觸發;核心資訊洩露漏洞;核心記憶體損壞漏洞,相結合達到突破ios系統權限/圖檔由 360 涅槃團隊提供】
盤古團隊大牛 dm557 說:
這三個 0day 漏洞的品質極高,在這件事被曝光出來以前,遠端越獄攻擊最新的 ios 系統就是一個傳說。我不覺得這是個遠端越獄攻擊這麼簡單了,這就是一個針對最新 ios 手機的遠端 apt 攻擊了。(apt:進階持續性威脅,一般是國家間或國際公司間為了特定目标而持續攻擊的頂級黑客組織所為。)
高雪峰還提到了一個有趣的背景,在今年8月美國舉行的黑客頂級會議 blackhat 上,蘋果的安全研究員剛剛提出對送出 ios 漏洞的獎勵機制,一個 ios 漏洞最高可以獲得20萬美金的獎勵。
但是對于這種遠端漏洞,蘋果并沒有獎勵計劃。原因是這種漏洞破壞力太大,用在黑産之中,可以獲得難以想象的巨大利益,是以蘋果根本沒有奢望有人會把這樣的漏洞送出給自己。
總結來說,在 ios 的世界裡,已經存在了一種兇狠的“瘟疫”,可以分分鐘讓你的 iphone 天塌地陷。然而,幸虧我們已經擁有了抵擋這種“瘟疫”的疫苗。這就是 ios 9.3.5。隻要輕輕點選更新系統,就可以從這片恐怖的危機海洋中上岸。
然而,誰又能知道,是否還有和“三叉戟”一樣兇殘的漏洞正在地下湧動,在人們猝不及防的時候,再次席卷世界呢?