厲害！幾小時(shí)完美越獄iOS11.2.1 他們是這樣做到的

12月14日，蘋果正式向用戶推送了iOS最新版本系統(tǒng)iOS11.2.1軟件更新。而僅僅在幾個(gè)小時(shí)之后，這一軟件便被阿里巴巴旗下潘多拉實(shí)驗(yàn)室實(shí)現(xiàn)完美越獄。

對(duì)于“越獄”這樣極具技術(shù)挑戰(zhàn)性的工作，不僅僅是和時(shí)間的賽跑，也是技術(shù)人員對(duì)于自身的挑戰(zhàn)。幾個(gè)小時(shí)的時(shí)間，他們是如何成功越獄iOS?11.2.1的？

幾小時(shí)：沒有捷徑只有長期積累

在繼IOS11.2版本發(fā)布后，蘋果發(fā)布了IOS?11.2.1更新版本，這個(gè)版本是在IOS?11.2的基礎(chǔ)上面修復(fù)了之前被爆出的HomeKit漏洞，據(jù)了解，攻擊者可以利用這個(gè)安全漏洞輕松控制那些支持HomeKit的設(shè)備，甚至是家中的智能門鎖。

然而僅僅在幾個(gè)小時(shí)之后，iOS?11.2.1?系統(tǒng)又被成功越獄，這也意味著iOS?11.2.1?系統(tǒng)仍然存在安全漏洞。阿里安全潘多拉實(shí)驗(yàn)室研究人員、iOS?11.2.1越獄主要研究人員龍磊表示，iOS?11.1?包含有存在缺陷的、可以被繞過的SMAP?機(jī)制。蘋果在iOS?11.2?中修復(fù)了這個(gè)漏洞，迫使研究人員尋找其他繞過SMAP?的方法。此外，龍磊曾向蘋果報(bào)告7?處安全缺陷。

此外，在老的iOS版本中，安全研究人員還可以通過mach_zone_force_gc接口來觸發(fā)內(nèi)核GC，否則就只能填充同類型的數(shù)據(jù)。但在iOS?11中蘋果禁用了mach_zone_force_gc接口，所以就需要新的觸發(fā)內(nèi)核GC的方式。

同時(shí)，與“非完美越獄”不同，“完美越獄”具有技術(shù)含金量，在重啟手機(jī)后，還能自動(dòng)執(zhí)行越獄代碼，在重啟前完成越獄。

“越獄是一件非常具有技術(shù)挑戰(zhàn)性的工作，也是每個(gè)iOS安全研究者都想去攀登的一個(gè)高峰。”龍磊興奮的說道。

事實(shí)上，在此次完美越獄的背后，是長時(shí)間的經(jīng)驗(yàn)積累和默默研究。據(jù)龍磊介紹，阿里安全部門從2014年年底開始便已經(jīng)關(guān)注越獄方面的相關(guān)內(nèi)容。一開始比較順利，安全人員重點(diǎn)關(guān)注在通用漏洞挖掘工具上，卻忽略了對(duì)蘋果安全機(jī)制本身的研究，而這卻是最為重要的。

直到2016年出現(xiàn)了轉(zhuǎn)機(jī)。在新同事的加入下，團(tuán)隊(duì)開始采用一些新的思路和辦法來做越獄。“除了這種用漏洞挖掘工具以外，開始去對(duì)這個(gè)操作系統(tǒng)進(jìn)行一些比較深入的研究。在這種新的思路和方式的幫助下，我們比較快的完成了第一次越獄。”龍磊回憶到。

隨后的2016年整個(gè)團(tuán)隊(duì)就在找到漏洞、完成越獄和被蘋果修復(fù)，這三種狀態(tài)之間來回切換。

進(jìn)入2017年，隨著研究的深入和經(jīng)驗(yàn)積累，可以實(shí)現(xiàn)快速的應(yīng)對(duì)蘋果安全升級(jí)，并且有一定的預(yù)判能力。龍磊感嘆道：“其實(shí)并沒有快捷的路徑去快速發(fā)現(xiàn)漏洞并完成越獄，背后是一個(gè)長期積累的過程。”

據(jù)介紹，iOS系統(tǒng)的每一次升級(jí)都有可能引入新的安全緩解技術(shù)，修補(bǔ)一些未經(jīng)公開的漏洞，這會(huì)加大漏洞利用的難度，所以每一次升級(jí)都會(huì)給安全研究人員提出新的挑戰(zhàn)。為了能夠在最短時(shí)間內(nèi)完成對(duì)最新版本的越獄工作，安全研究人員不僅要能挖掘出可以獨(dú)立提權(quán)的漏洞，還要有不一樣的思路，以免手上的漏洞和其他人撞車，或者是被Apple意外補(bǔ)上。

不僅僅是越獄：從系統(tǒng)的層面看待安全問題

阿里安全潘多拉實(shí)驗(yàn)室組建于2017年，此前僅在阿里先知?jiǎng)?chuàng)新大會(huì)上露過一次面，安全研究員用視頻演示了安卓8.0的Root提權(quán)和iOS11.1的完美越獄。

其研究主要聚焦于移動(dòng)安全領(lǐng)域，包括對(duì)iOS和Android系統(tǒng)安全的攻擊和防御技術(shù)研究。目前實(shí)驗(yàn)室擁有10余名研究人員，主要成員在移動(dòng)系統(tǒng)攻防方面有多年的研究經(jīng)驗(yàn)，并在過去的兩年時(shí)間內(nèi)共計(jì)上報(bào)了96個(gè)安全漏洞，獲得了Apple、Google以及華為等多個(gè)廠商的致謝。

事實(shí)上阿里安全對(duì)于移動(dòng)安全領(lǐng)域的關(guān)注在兩年前就已經(jīng)開始。經(jīng)過兩年的積累，潘多拉實(shí)驗(yàn)室已經(jīng)有了足夠的能力來研究和應(yīng)對(duì)相關(guān)的安全問題。知道如何從攻擊的視角去發(fā)現(xiàn)漏洞，才能建立更安全的體系，促進(jìn)了整個(gè)生態(tài)的良性發(fā)展。

而為了應(yīng)對(duì)移動(dòng)安全領(lǐng)域的研究，潘多拉實(shí)驗(yàn)室從阿里安全內(nèi)部抽調(diào)了10幾位精英加入這一團(tuán)隊(duì)，同時(shí)，潘多拉實(shí)驗(yàn)室會(huì)從攻擊者這樣一個(gè)視角去提高整個(gè)移動(dòng)生態(tài)的安全水準(zhǔn)。

此次完美越獄iOS?11.2.1?系統(tǒng)，不僅僅是發(fā)現(xiàn)漏洞，還會(huì)通過研究系統(tǒng)的安全機(jī)制，最后把發(fā)現(xiàn)的漏洞利用起來。“所以通俗地說，不管是iOS的越獄，還是安卓的root，在這個(gè)過程中我們的研究人員會(huì)沉淀下來對(duì)整個(gè)系統(tǒng)的比較深入的理解，這是我們期望能夠達(dá)到的，能夠有足夠的技術(shù)積累從系統(tǒng)的層面去看待現(xiàn)在的安全問題。”阿里安全潘多拉實(shí)驗(yàn)室負(fù)責(zé)人宋楊對(duì)環(huán)球網(wǎng)科技表示。

雖然這種對(duì)于安全的理解不會(huì)立刻演變成為安全解決方案，但通過這種對(duì)系統(tǒng)的深入理解，足夠支撐相關(guān)的業(yè)務(wù)走的更快更好。

安全其實(shí)是一個(gè)很復(fù)雜的體系，不單單是系統(tǒng)安全、移動(dòng)安全，更是一個(gè)整體的鏈路。而潘多拉實(shí)驗(yàn)室的存在，則是從移動(dòng)安全角度，為整體阿里安全的相關(guān)業(yè)務(wù)提供支持，完整整體的安全解決方案。宋楊認(rèn)為，發(fā)布工具不是他們的目的，他們的初衷還是檢測(cè)蘋果系統(tǒng)是否“足夠安全”，從攻擊視角提升移動(dòng)生態(tài)安全的水位。

而作為阿里安全潘多拉實(shí)驗(yàn)室負(fù)責(zé)人，宋楊對(duì)于選人有著自己的理解：“首先在移動(dòng)安全領(lǐng)域要有一定的研究，有相應(yīng)的技術(shù)能力很重要，另外需要對(duì)技術(shù)的研究有一定的熱情，做這類工作往往是孤獨(dú)而寂寞的，如果沒有這種持續(xù)的熱情很難做下去，而更為重要的，還是要與我們團(tuán)隊(duì)的整體氣質(zhì)相符合，也就是常說的‘臭味相投’。”

對(duì)于潘多拉這個(gè)名字，一方面是借鑒了電影《阿凡達(dá)》中的潘多拉星球，另一方面則是借鑒了潘多拉盒子。“我們覺得其實(shí)不管是把它當(dāng)作盒子也好，還是作為星球也罷，都是希望這個(gè)實(shí)驗(yàn)室是以一個(gè)守護(hù)者的角色去看待安全方面的一些挑戰(zhàn)。這也是我們起這個(gè)名字的緣由吧。”宋楊解釋道。

目前，潘多拉實(shí)驗(yàn)室已經(jīng)與華為等手機(jī)廠商進(jìn)行了溝通，對(duì)外通過攻擊的視角來提供整個(gè)移動(dòng)安全生態(tài)的安全水準(zhǔn)，而對(duì)內(nèi)則側(cè)重于一些服務(wù)支持。

未來，實(shí)驗(yàn)室還會(huì)繼續(xù)做越獄方面的難題攻克，同時(shí)還會(huì)重點(diǎn)關(guān)注移動(dòng)系統(tǒng)的安全及瀏覽器方面的安全問題。