阿裡安全潘多拉實驗室龍磊：越獄 iOS 11.2，我選了一條最難走的路從“越獄生态”到“越獄蘋果”選擇研究“工具”還是“系統”挑戰最難的子產品，恰恰是最快的路

蘋果越獄不好搞，但他們居然兩個月内針對三個最新版系統“越”了三次，這就很神奇了。

“他們”就是阿裡巴巴的潘多拉實驗室。

潘多拉實驗室于 2017 年成立，此前僅在阿裡先知創新大會上露過一次面，其安全研究員用視訊示範了安卓8.0 的 Root 提權和 iOS 11.1 的完美越獄。

12 月 13 日，阿裡安全潘多拉實驗室稱，已經完美越獄蘋果 iOS 11.2。一天後，在蘋果釋出了 iOS 11.2.1之後的數小時内，他們又示範了針對該版本的完美越獄。

“完美越獄”是有技術含金量的。“非完美越獄”後的手機一旦重新開機，你就得重新手動操作一遍越獄流程，有點像“一次性”越獄。而完美越獄可在重新開機手機後，還能自動執行越獄代碼，在重新開機前完成越獄。

人前厲害、風光，人後的苦可能隻有研究者自己知道。

潘多拉實驗室 iOS 11.2 的越獄作者龍磊對宅客頻道表示， 2015 年初步研究蘋果越獄時，十分孤獨。有意思的是，上一個對宅客頻道表達這種憂思的是騰訊科恩越獄了 iOS 11.1. 1 系統的著名黑客陳良。“越獄期間我買了一個小酒壺，郁悶時候喝兩口，偶爾還能激發别的思路。”陳良說。

龍磊經曆思路受阻，睡不着覺時，會喝兩口意式濃縮，看看越獄和咖啡，到底哪一種更苦。

龍磊不是一開始就選擇研究蘋果越獄的。确切來說，一開始他想專職研究蘋果系統越獄，但沒敢。

“不敢”是有原因的。

2011 年，龍磊加入了騰訊手機衛士團隊。當時，他在騰訊做的是越獄環境下的應用。。比如，蘋果手機越獄後可以在非官方店下載下傳第三方應用，他做的就是與第三方應用和生态相關的事情。2014 年 6 月，龍磊從騰訊離開時，中國還沒有人成功實作蘋果手機越獄。

在此之前，要去探索一座國人尚未涉獵過的高峰，不知道前方能否有所收獲，可能需要積累勇氣。不過，這并不妨礙他在工作之餘自學越獄技術。

環境推了龍磊一把。

從友盟釋出的資料看，越獄 iPhone 在手機總數中所占的比例從 2013 年第一季度時的 35% 下降到了當年年底時的 12% 。從 2013 年年底開始，越獄 iPhone 所占的比例穩定在了 10%-15% 之間。

“越獄的生态越來越萎縮，蘋果生态研究變得沒有那麼有市場，感覺掉轉方向的時機可能到了。”龍磊說。

2014 年 6 月，龍磊決定離開，去探尋可能可以追逐最初夢想的機會。

不料，6 月 24 日，中國有個叫做“盤古”的越獄團隊與知名的第三方市場 PP 助手聯合釋出了國内首款 iOS7.1.1 完美越獄工具“盤古”。

龍磊看到這則新聞時，感到又驚喜又緊迫。

此時，他已經打算進入阿裡巴巴的移動安全團隊，準備探索 iOS 系統的不足——這個看上去離原來的興趣更近一點了。但他依然沒敢“正大光明”地宣告自己要越獄，還在積累技術。直到 2014 年底，龍磊覺得自己的技術“差不多了”，他所在的部門也很支援這件事。他覺得“越獄”這件事可以搞了。

不過，事情沒有那麼順利。

2015 年，龍磊陸續向蘋果送出了一些漏洞，并帶着自己關于建構通用漏洞挖掘工具的思路《Optimized fuzzing IOKIT in iOS》在世界著名黑客大會 Blackhat 2015 上進行了分享。台下，他還與蘋果公司的從業人員聊了很多關于蘋果系統機制的問題。

看上去順風順水。但是，一個念頭閃了過來，龍磊突然覺得自己可能走岔了路。

龍認為，自己在通用的漏洞挖掘工具上投入了太多精力，卻忽略了對蘋果安全機制本身的研究。

2017年 12 月 18 日，龍磊和潘多拉實驗室負責人宋楊坐在宅客頻道面前時，是這樣反思的——“對于蘋果安全機制的研究恰恰是最重要的。”宋說，龍磊在以前阿裡内部的經驗分享上，還着重介紹了蘋果越獄的兩個技術流派：“氣宗”和“劍宗”。

其實，這就是安全圈挖掘漏洞的兩種主流的方式。第一種，開放通用的漏洞挖掘工具。第二種，完全不用工具，靠研究人員去做分析、看代碼。

龍說，不能說哪種方法更好。如果面對是成熟度比較低的代碼，使用漏洞挖掘的工具效率可能會更高，但如果面對的是 iOS 核心級的漏洞，它的代碼過了很多年以及無數安全研究員的檢驗，代碼發展已經變得非常穩定，這種情況下，通過深入分析和工具，效果會更好。

顯然，龍磊認為，工具并不是自己朝蘋果越獄前進最重要的東西，了解 iOS 系統，研究它的安全機制，才是驗證蘋果系統是否有“缺口”的關鍵所在。

這也是後來潘多拉實驗室一直沒有釋出越獄工具的原因之一，宋楊認為，釋出工具不是他們的目的，他們的初衷還是檢測蘋果系統是否“足夠安全”，從攻擊視角提升移動生态安全的水位。

2016 年是龍磊最“痛苦”的一年。

及時調整方向後，原來的老搭檔也來到了阿裡，龍磊與他一起全身心地投入了蘋果系統的深入研究與分析，并嘗試用新思路來做這件事。

很快，他們完成了第一次越獄。但是，龍磊等人的喜悅并沒有維持多久，蘋果就進行了一次安全更新，這次的越獄馬上失效了，龍磊等人研究出來的“越獄有效時間”隻有 3 個月。“當時，我感受到了很強的挫敗感，自己投入了很長時間研究的東西，蘋果釋出一個安全修補更新後，我們的努力一下子從100分降到了0分。”龍磊說。

随後的一年裡，他們都在找漏洞—完成越獄—漏洞被蘋果修補這三種狀态間來回切換，龍磊等人與蘋果玩着“貓捉老鼠”的遊戲，一時間無法找到穩定的越獄方法，十分焦慮。

直到 2017 年，随着其研究的深入和經驗的積累，龍磊等人才可以做到比較快速地應對蘋果的安全更新，并且保持越獄的能力。

龍磊沒有透露此次越 iOS 11.2 的手法。但宅客頻道了解到， iOS 11.1 包含有存在缺陷的、可以被繞過的 SMAP 機制。蘋果在 iOS 11.2 中修複了這個漏洞，迫使研究人員尋找其他繞過 SMAP 的方法。此次越獄 iOS 11.2 則利用了一個記憶體緩沖區溢出漏洞，觸發核心錯誤。

龍磊告訴宅客頻道，如果沒有意外，他們走出來的“這條大道”在接下來蘋果要釋出的新版本中，大機率還能走得通。

他總結了一個經驗：“以前出過安全問題的一些子產品更有可能産生安全問題。但是業界對這些子產品的關注度是一陣一陣的。比如，有人這一年關注這個子產品，下一年關注另外一個子產品，但我可能會選擇回退好幾年，去看大家曾經關注過的子產品，那些看上去成熟度已經非常高的子產品一旦找到漏洞，或者安全機制上的問題，就不那麼容易被修補。”

不追熱點，能回頭反思，找成熟度最高的子產品下手，挑戰看上去最不可能的路，對龍磊而言，恰恰是走得最快的那條路。

本文轉載自雷鋒網，原标題為《“黑客”龍磊：越獄 iOS 11.2，我選了一條最難走的路》