3
盤古,中國最早越獄 iOS 的黑客團隊。
曾經無數人在屏幕前徹夜刷新,期盼他們越獄工具的放出。幾年間,盤古的幾位核心成員已經從小鮮肉變成了老鮮肉,與此同時,眾多盤古的粉絲也已經成為了中國移動安全的中堅力量。對于他們所有人來說,MOSEC是一種精神故鄉。
MOSEC 的中文名字“移動安全技術峰會”聽起來不太性感,但是它卻是如假包換的盤古主場。2016年的7月1日,這群老黑客延續了盤古“一言不合,就用越獄說話”的風格。毫無防備地放出 iOS 10 Beta 版越獄 Demo。
現場的掌聲中,好像都噴濺著黑客的血液。
雷鋒網獨家采訪到了盤古團隊核心成員 OGC557,聽他講述了 MOSEC 和盤古團隊的最新動向。
【MOSEC 現場,360 龔廣(畫右)展示利用漏洞查看 Wi-Fi 密碼,左為盤古團隊成員陳小波】
雷鋒網:
你們為什么會在 MOSEC 現場展示 iOS 10 Beta 版的越獄視頻?
OGC557:
其實這是我們的臨時決定。我們本來想拿 9.3.3 的越獄去秀一下,但是就在幾周前的 WWDC 上,蘋果發布了 iOS 10,我們研究了一下發現,本來我們準備好的用來越獄的一套漏洞,其中有兩三個在 iOS 10 上被干掉了。我們覺得不甘心,雖然時間很緊張,但是我們仍然成功地找到了新的漏洞,完成了 iOS 10 Beta 1 版的越獄。在現場放這個視頻,目的很簡單,就是告訴大家盤古團隊仍然在努力,我們有能力在最新的系統上獲得想要的東西。
雷鋒網:
在 iOS 10 上,蘋果的安全機制做了哪些升級?
OGC557:
現在蘋果只發布了 iOS 10 Beta 1 版。根據現有的情況來看,(安全機制的)外觀上沒有明顯的提升,但是在內核的利用,安全機制的修補還有沙盒的安全性上做了改進。比如說我們之前準備的漏洞,有一個是用于沙盒逃逸的,在9.3.3的安全機制上這個漏洞起作用,而在 iOS 10 上就用不了了。
但是要知道,這只是第一個測試版,在以后的測試版或正式版中,蘋果有可能做出安全性的重大升級,這件事在以前也經常發生。
【iOS 10 Beta 1 越獄安裝Cydia /圖片由盤古團隊提供】
雷鋒網:
既然如此,iOS 10 越獄到底有多難呢?
OGC557:
有一個意大利小伙子(Luca Todesco)最近一直在放 iOS 9.3.X 的越獄圖片,但是最近他在 Twitter 上說,他掌握的重要漏洞在 iOS 10 上都廢了。
目前來看,外界沒有人放出消息,說在 iOS 10 上取得突破,所以我也不知道其他人的感覺怎么樣。不過因為我們自己的技術已經突破了,所以感覺不是那么難。
雷鋒網:
盤古團隊計劃發布 iOS 10 的越獄工具嗎?
OGC557:
我們目前還沒有發布越獄工具的計劃。因為你知道,有些漏洞不單單可以用來越獄,還可以在我們的產品上實現對客戶安全保護的價值。
公布一個越獄工具,意味著其他的研究人員,包括蘋果都可以看到我們使用了什么漏洞。雖然我們在 iOS 越獄和 iOS 安全產品中使用的是兩套不同的漏洞,但是公布一個漏洞很可能給別的黑客啟發,暴露了我們其他的漏洞。這是我們謹慎的原因。
從目前世界上的情況來看,我們沒有壓力,因為對手的進度看起來并不樂觀,所以我們會等等看。
雷鋒網:
除了你們,還有誰有實力越獄呢?
OGC557:
我剛才說的意大利小伙一直從事iOS相關的研究,并且公布過 Yalu 越獄,他可能有希望。國內的話科恩實驗室曾經在mobile pwn2own中攻破過iPhone,對iOS/macOS的安全也很有研究。
雷鋒網:
這是盤古第二年舉辦 MOSEC(移動安全技術峰會)了,相比第一次有什么不同?
OGC557:
直觀來看,就是規模翻了一倍。而且我們的特色就是移動安全領域技術類的頂尖干貨,所以技術水準是非常高的。
雷鋒網:
技術大牛都分享了哪些頂尖技術,給我們講一講吧。
OGC557:
美國黑客 JL 的議題是 iOS 和 Android 的啟動安全機制分析。
iOS 系統啟動時,從引導開始就會對加載的東西進行校驗,保證每一步向下走都是安全的。甚至在引導階段,后面的代碼都是加密的,所以你根本無法看到它的固件是怎樣工作的。
當然,在早期的 iOS 版本里,一些黑客曾經發現過 Bootrom 的漏洞,也就是突破了這條啟動鏈。這樣的突破可以在最早的階段接管手機,甚至還沒到解鎖輸密碼這個步驟,手機就可以被我們接管了。你懂的。
但是現在這種漏洞很難找到了,因為啟動階段的流程不會很復雜,只是簡單的解析、加載、校驗,存在隱患的概率不高。不過最近在 Android 系統內,引進了類似的安全鏈機制。對于 Android 系統來說,這個功能是新加入的,所以還可能存在一些漏洞。
他的議題就是詳細介紹這兩者的安全機制的異同,啟發其他黑客做進一步的研究。
另外還有科恩實驗室的議題,他們展示了使用一個 Android 系統的 0Day 漏洞。
這個漏洞是他們最新發現的。從他們的演講來看,這個漏洞的質量非常高,應該是可以通殺所有的 Android 系統。這個漏洞已經報給了廠商,但是由于谷歌還沒有放出補丁,所以他們并沒有對漏洞利用的詳情進行講解。
雷鋒網:
說說你們壓軸出場的議題吧。
OGC557:
我們發現了蘋果系統機制的一些新漏洞。某些協處理器的固件并沒有被簽名保護,所以我們可以通過這些漏洞,構造畸形的代碼,從而控制協處理器。我們也在研究這里面有沒有很好的利用方法,可以實現系統層面的利用,例如越獄。
我們還發現了蘋果底層數據共享機制的漏洞。如果你用系統的相機 App 拍照,其他 App 其實可以在不經過你允許的情況下,在你拍照的一瞬間從內存鏡像里把它拿到,相當于它可以把你拍攝的照片直接偷出來。這會造成重大的隱私問題。我們做了驗證,任何一個 App 都可以實現這樣的監視功能,還能大搖大擺地通過 AppStore 的驗證。
當然,最后還有我們的 iOS 10 越獄秀。
雷鋒網:
聽說現場來了幾個神秘的觀眾。
OGC557:
沒錯,有兩位是從以色列來的,他們來自剛剛幫助 FBI 破解了那部 iPhone 5c 的 Cellebrite。漏洞對他們來說是非常重要的,他們也熟悉我們做的事情 ,所以他們這次自己注冊過來了。
另外還有一隊人來自蘋果公司,他們當然很關心我們在做什么,于是提前打招呼,說他們要來看看。
雷鋒網:
蘋果的人看到你們越獄 iOS 10 的時候,是什么表情。
OGC557:
哈哈哈哈哈哈。。。
【盤古團隊核心成員TB】
雷鋒網:
除了越獄之外,盤古最近還在研究什么秘密武器呢?
OGC557:
我最近在做一個“iOS 設備安全監測系統”,這個系統可以檢測你的 iPhone 是否被人黑掉或者放置了惡意的東西。這算是我們第一個用于銷售的產品,針對企業和政府的需求。例如鑒定領導的手機到底安不安全。
雷鋒網:
蘋果系統被黑的可能性大嗎?
OGC557:
去年的 XcodeGhost 事件爆發,大家都注意到了蘋果系統并不安全。有很多隱藏得比較深的攻擊在里面。而且蘋果對于 AppStore 上的 App 驗證存在一個缺陷。有很多人已經實現了用一個經過蘋果驗證的 App 在后臺下載木馬的攻擊方法。
雷鋒網:
這個系統怎樣識別攻擊行為呢?
OGC557:
一般來說,如果一個 App 想要有惡意行為,一定要在系統里面提權,然后才可以查看“別人”的東西。從系統層看,這種操作一定會留下痕跡。我們會利用自己掌握的漏洞,對文件的完整性進行校驗,對進程進行檢查,對簽名進行檢查。這樣就可以識別出攻擊行為。由于我們是基于簽名校驗和行為分析,所以能夠發現未知的威脅。
【iOS 設備安全監測系統 示意圖/盤古團隊提供】
雷鋒網:
再說說越獄吧,盤古的核心團隊有幾個人?你們如何分工?
OGC557:
我們的核心團隊有六個人,TB(韓爭光),DM557(陳小波),INT80(王鐵磊),windknown(徐昊),曾半仙和我。每次進行研究的時候都是有分工的。比如正好你在這一塊發現漏洞,我在那一塊挖掘漏洞。最后大家拼裝起來,一起測試、適配,才能實現最后的越獄。
現在我們基本不會熬夜,除非有重要的節點,例如馬上要發布越獄。
雷鋒網:
說說你印象深刻的越獄故事吧。
OGC557:
去年這個時候,我們連著熬了兩個禮拜的夜,就是為了發布 iOS 8.4 的越獄,眼看距離我們最后發布只有兩天時間了,太極團隊搶先發布了他們的越獄工具。同樣的 iOS 版本,如果有兩個團隊同時放出越獄工具,是對漏洞的浪費,所以這意味著我們趕工兩周的工具就不能發布了。那次我們真的很郁悶。但是我們還不能休息,需要馬上對他們的越獄工具做技術跟蹤,看看有沒有撞洞(使用和自己相同的漏洞)。幸好那次一個洞都沒有撞,我們的武器依然可以在接下來的版本里使用。
雷鋒網:
你們手里究竟有多少漏洞?
OGC557:
我們的儲備還是挺豐富的。如果蘋果封堵了現在的漏洞,我們還是可以用另一套漏洞進行越獄。我們手里至少有兩套漏洞。
MOSEC:移動安全技術峰會,由盤古團隊和POC主辦,關注移動安全領域的頂尖技術。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
專題
