厲害!幾小時完美越獄iOS11.2.1 他們是這樣做到的
12月14日,蘋果正式向用戶推送了iOS最新版本系統iOS11.2.1軟件更新。而僅僅在幾個小時之后,這一軟件便被阿里巴巴旗下潘多拉實驗室實現完美越獄。
對于“越獄”這樣極具技術挑戰性的工作,不僅僅是和時間的賽跑,也是技術人員對于自身的挑戰。幾個小時的時間,他們是如何成功越獄iOS 11.2.1的?
幾小時:沒有捷徑只有長期積累
在繼IOS11.2版本發布后,蘋果發布了IOS 11.2.1更新版本,這個版本是在IOS 11.2的基礎上面修復了之前被爆出的HomeKit漏洞,據了解,攻擊者可以利用這個安全漏洞輕松控制那些支持HomeKit的設備,甚至是家中的智能門鎖。
然而僅僅在幾個小時之后,iOS 11.2.1 系統又被成功越獄,這也意味著iOS 11.2.1 系統仍然存在安全漏洞。阿里安全潘多拉實驗室研究人員、iOS 11.2.1越獄主要研究人員龍磊表示,iOS 11.1 包含有存在缺陷的、可以被繞過的SMAP 機制。蘋果在iOS 11.2 中修復了這個漏洞,迫使研究人員尋找其他繞過SMAP 的方法。此外,龍磊曾向蘋果報告7 處安全缺陷。
此外,在老的iOS版本中,安全研究人員還可以通過mach_zone_force_gc接口來觸發內核GC,否則就只能填充同類型的數據。但在iOS 11中蘋果禁用了mach_zone_force_gc接口,所以就需要新的觸發內核GC的方式。
同時,與“非完美越獄”不同,“完美越獄”具有技術含金量,在重啟手機后,還能自動執行越獄代碼,在重啟前完成越獄。
“越獄是一件非常具有技術挑戰性的工作,也是每個iOS安全研究者都想去攀登的一個高峰。”龍磊興奮的說道。
事實上,在此次完美越獄的背后,是長時間的經驗積累和默默研究。據龍磊介紹,阿里安全部門從2014年年底開始便已經關注越獄方面的相關內容。一開始比較順利,安全人員重點關注在通用漏洞挖掘工具上,卻忽略了對蘋果安全機制本身的研究,而這卻是最為重要的。
直到2016年出現了轉機。在新同事的加入下,團隊開始采用一些新的思路和辦法來做越獄。“除了這種用漏洞挖掘工具以外,開始去對這個操作系統進行一些比較深入的研究。在這種新的思路和方式的幫助下,我們比較快的完成了第一次越獄。”龍磊回憶到。
隨后的2016年整個團隊就在找到漏洞、完成越獄和被蘋果修復,這三種狀態之間來回切換。
進入2017年,隨著研究的深入和經驗積累,可以實現快速的應對蘋果安全升級,并且有一定的預判能力。龍磊感嘆道:“其實并沒有快捷的路徑去快速發現漏洞并完成越獄,背后是一個長期積累的過程。”
據介紹,iOS系統的每一次升級都有可能引入新的安全緩解技術,修補一些未經公開的漏洞,這會加大漏洞利用的難度,所以每一次升級都會給安全研究人員提出新的挑戰。為了能夠在最短時間內完成對最新版本的越獄工作,安全研究人員不僅要能挖掘出可以獨立提權的漏洞,還要有不一樣的思路,以免手上的漏洞和其他人撞車,或者是被Apple意外補上。
不僅僅是越獄:從系統的層面看待安全問題
阿里安全潘多拉實驗室組建于2017年,此前僅在阿里先知創新大會上露過一次面,安全研究員用視頻演示了安卓8.0的Root提權和iOS11.1的完美越獄。
其研究主要聚焦于移動安全領域,包括對iOS和Android系統安全的攻擊和防御技術研究。目前實驗室擁有10余名研究人員,主要成員在移動系統攻防方面有多年的研究經驗,并在過去的兩年時間內共計上報了96個安全漏洞,獲得了Apple、Google以及華為等多個廠商的致謝。
事實上阿里安全對于移動安全領域的關注在兩年前就已經開始。經過兩年的積累,潘多拉實驗室已經有了足夠的能力來研究和應對相關的安全問題。知道如何從攻擊的視角去發現漏洞,才能建立更安全的體系,促進了整個生態的良性發展。
而為了應對移動安全領域的研究,潘多拉實驗室從阿里安全內部抽調了10幾位精英加入這一團隊,同時,潘多拉實驗室會從攻擊者這樣一個視角去提高整個移動生態的安全水準。
此次完美越獄iOS 11.2.1 系統,不僅僅是發現漏洞,還會通過研究系統的安全機制,最后把發現的漏洞利用起來。“所以通俗地說,不管是iOS的越獄,還是安卓的root,在這個過程中我們的研究人員會沉淀下來對整個系統的比較深入的理解,這是我們期望能夠達到的,能夠有足夠的技術積累從系統的層面去看待現在的安全問題。”阿里安全潘多拉實驗室負責人宋楊對環球網科技表示。
雖然這種對于安全的理解不會立刻演變成為安全解決方案,但通過這種對系統的深入理解,足夠支撐相關的業務走的更快更好。
安全其實是一個很復雜的體系,不單單是系統安全、移動安全,更是一個整體的鏈路。而潘多拉實驗室的存在,則是從移動安全角度,為整體阿里安全的相關業務提供支持,完整整體的安全解決方案。宋楊認為,發布工具不是他們的目的,他們的初衷還是檢測蘋果系統是否“足夠安全”,從攻擊視角提升移動生態安全的水位。
而作為阿里安全潘多拉實驗室負責人,宋楊對于選人有著自己的理解:“首先在移動安全領域要有一定的研究,有相應的技術能力很重要,另外需要對技術的研究有一定的熱情,做這類工作往往是孤獨而寂寞的,如果沒有這種持續的熱情很難做下去,而更為重要的,還是要與我們團隊的整體氣質相符合,也就是常說的‘臭味相投’。”
對于潘多拉這個名字,一方面是借鑒了電影《阿凡達》中的潘多拉星球,另一方面則是借鑒了潘多拉盒子。“我們覺得其實不管是把它當作盒子也好,還是作為星球也罷,都是希望這個實驗室是以一個守護者的角色去看待安全方面的一些挑戰。這也是我們起這個名字的緣由吧。”宋楊解釋道。
目前,潘多拉實驗室已經與華為等手機廠商進行了溝通,對外通過攻擊的視角來提供整個移動安全生態的安全水準,而對內則側重于一些服務支持。
未來,實驗室還會繼續做越獄方面的難題攻克,同時還會重點關注移動系統的安全及瀏覽器方面的安全問題。
