盤(pán)古，中國(guó)最早越獄 iOS 的黑客團(tuán)隊(duì)。

曾經(jīng)無(wú)數(shù)人在屏幕前徹夜刷新，期盼他們?cè)姜z工具的放出。幾年間，盤(pán)古的幾位核心成員已經(jīng)從小鮮肉變成了老鮮肉，與此同時(shí)，眾多盤(pán)古的粉絲也已經(jīng)成為了中國(guó)移動(dòng)安全的中堅(jiān)力量。對(duì)于他們所有人來(lái)說(shuō)，MOSEC是一種精神故鄉(xiāng)。

MOSEC 的中文名字“移動(dòng)安全技術(shù)峰會(huì)”聽(tīng)起來(lái)不太性感，但是它卻是如假包換的盤(pán)古主場(chǎng)。2016年的7月1日，這群老黑客延續(xù)了盤(pán)古“一言不合，就用越獄說(shuō)話”的風(fēng)格。毫無(wú)防備地放出 iOS 10 Beta 版越獄 Demo。

現(xiàn)場(chǎng)的掌聲中，好像都噴濺著黑客的血液。

雷鋒網(wǎng)獨(dú)家采訪到了盤(pán)古團(tuán)隊(duì)核心成員 OGC557，聽(tīng)他講述了 MOSEC 和盤(pán)古團(tuán)隊(duì)的最新動(dòng)向。

【MOSEC 現(xiàn)場(chǎng)，360 龔廣（畫(huà)右）展示利用漏洞查看 Wi-Fi 密碼，左為盤(pán)古團(tuán)隊(duì)成員陳小波】

iOS 10 的越獄有多難？

雷鋒網(wǎng)：

你們?yōu)槭裁磿?huì)在 MOSEC 現(xiàn)場(chǎng)展示 iOS 10 Beta 版的越獄視頻？

OGC557：

其實(shí)這是我們的臨時(shí)決定。我們本來(lái)想拿 9.3.3 的越獄去秀一下，但是就在幾周前的 WWDC 上，蘋(píng)果發(fā)布了 iOS 10，我們研究了一下發(fā)現(xiàn)，本來(lái)我們準(zhǔn)備好的用來(lái)越獄的一套漏洞，其中有兩三個(gè)在 iOS 10 上被干掉了。我們覺(jué)得不甘心，雖然時(shí)間很緊張，但是我們?nèi)匀怀晒Φ卣业搅诵碌穆┒?，完成?iOS 10 Beta 1 版的越獄。在現(xiàn)場(chǎng)放這個(gè)視頻，目的很簡(jiǎn)單，就是告訴大家盤(pán)古團(tuán)隊(duì)仍然在努力，我們有能力在最新的系統(tǒng)上獲得想要的東西。

雷鋒網(wǎng)：

在 iOS 10 上，蘋(píng)果的安全機(jī)制做了哪些升級(jí)？

OGC557：

現(xiàn)在蘋(píng)果只發(fā)布了 iOS 10 Beta 1 版。根據(jù)現(xiàn)有的情況來(lái)看，（安全機(jī)制的）外觀上沒(méi)有明顯的提升，但是在內(nèi)核的利用，安全機(jī)制的修補(bǔ)還有沙盒的安全性上做了改進(jìn)。比如說(shuō)我們之前準(zhǔn)備的漏洞，有一個(gè)是用于沙盒逃逸的，在9.3.3的安全機(jī)制上這個(gè)漏洞起作用，而在 iOS 10 上就用不了了。

但是要知道，這只是第一個(gè)測(cè)試版，在以后的測(cè)試版或正式版中，蘋(píng)果有可能做出安全性的重大升級(jí)，這件事在以前也經(jīng)常發(fā)生。

【iOS 10 Beta 1 越獄安裝Cydia /圖片由盤(pán)古團(tuán)隊(duì)提供】

雷鋒網(wǎng)：

既然如此，iOS 10 越獄到底有多難呢？

OGC557：

有一個(gè)意大利小伙子（Luca Todesco）最近一直在放 iOS 9.3.X 的越獄圖片，但是最近他在 Twitter 上說(shuō)，他掌握的重要漏洞在 iOS 10 上都廢了。

目前來(lái)看，外界沒(méi)有人放出消息，說(shuō)在 iOS 10 上取得突破，所以我也不知道其他人的感覺(jué)怎么樣。不過(guò)因?yàn)槲覀冏约旱募夹g(shù)已經(jīng)突破了，所以感覺(jué)不是那么難。

雷鋒網(wǎng)：

盤(pán)古團(tuán)隊(duì)計(jì)劃發(fā)布 iOS 10 的越獄工具嗎？

OGC557：

我們目前還沒(méi)有發(fā)布越獄工具的計(jì)劃。因?yàn)槟阒?，有些漏洞不單單可以用?lái)越獄，還可以在我們的產(chǎn)品上實(shí)現(xiàn)對(duì)客戶安全保護(hù)的價(jià)值。

公布一個(gè)越獄工具，意味著其他的研究人員，包括蘋(píng)果都可以看到我們使用了什么漏洞。雖然我們?cè)?iOS 越獄和 iOS 安全產(chǎn)品中使用的是兩套不同的漏洞，但是公布一個(gè)漏洞很可能給別的黑客啟發(fā)，暴露了我們其他的漏洞。這是我們謹(jǐn)慎的原因。

從目前世界上的情況來(lái)看，我們沒(méi)有壓力，因?yàn)閷?duì)手的進(jìn)度看起來(lái)并不樂(lè)觀，所以我們會(huì)等等看。

雷鋒網(wǎng)：

除了你們，還有誰(shuí)有實(shí)力越獄呢？

OGC557：

我剛才說(shuō)的意大利小伙一直從事iOS相關(guān)的研究，并且公布過(guò) Yalu 越獄，他可能有希望。國(guó)內(nèi)的話科恩實(shí)驗(yàn)室曾經(jīng)在mobile pwn2own中攻破過(guò)iPhone，對(duì)iOS/macOS的安全也很有研究。

MOSEC 上，黑客大神們說(shuō)了神馬？

雷鋒網(wǎng)：

這是盤(pán)古第二年舉辦 MOSEC（移動(dòng)安全技術(shù)峰會(huì)）了，相比第一次有什么不同？

OGC557：

直觀來(lái)看，就是規(guī)模翻了一倍。而且我們的特色就是移動(dòng)安全領(lǐng)域技術(shù)類的頂尖干貨，所以技術(shù)水準(zhǔn)是非常高的。

雷鋒網(wǎng)：

技術(shù)大牛都分享了哪些頂尖技術(shù)，給我們講一講吧。

OGC557：

美國(guó)黑客 JL 的議題是 iOS 和 Android 的啟動(dòng)安全機(jī)制分析。

iOS 系統(tǒng)啟動(dòng)時(shí)，從引導(dǎo)開(kāi)始就會(huì)對(duì)加載的東西進(jìn)行校驗(yàn)，保證每一步向下走都是安全的。甚至在引導(dǎo)階段，后面的代碼都是加密的，所以你根本無(wú)法看到它的固件是怎樣工作的。

當(dāng)然，在早期的 iOS 版本里，一些黑客曾經(jīng)發(fā)現(xiàn)過(guò) Bootrom 的漏洞，也就是突破了這條啟動(dòng)鏈。這樣的突破可以在最早的階段接管手機(jī)，甚至還沒(méi)到解鎖輸密碼這個(gè)步驟，手機(jī)就可以被我們接管了。你懂的。 

但是現(xiàn)在這種漏洞很難找到了，因?yàn)閱?dòng)階段的流程不會(huì)很復(fù)雜，只是簡(jiǎn)單的解析、加載、校驗(yàn)，存在隱患的概率不高。不過(guò)最近在 Android 系統(tǒng)內(nèi)，引進(jìn)了類似的安全鏈機(jī)制。對(duì)于 Android 系統(tǒng)來(lái)說(shuō)，這個(gè)功能是新加入的，所以還可能存在一些漏洞。

他的議題就是詳細(xì)介紹這兩者的安全機(jī)制的異同，啟發(fā)其他黑客做進(jìn)一步的研究。

另外還有科恩實(shí)驗(yàn)室的議題，他們展示了使用一個(gè) Android 系統(tǒng)的 0Day 漏洞。

這個(gè)漏洞是他們最新發(fā)現(xiàn)的。從他們的演講來(lái)看，這個(gè)漏洞的質(zhì)量非常高，應(yīng)該是可以通殺所有的 Android 系統(tǒng)。這個(gè)漏洞已經(jīng)報(bào)給了廠商，但是由于谷歌還沒(méi)有放出補(bǔ)丁，所以他們并沒(méi)有對(duì)漏洞利用的詳情進(jìn)行講解。

雷鋒網(wǎng)：

說(shuō)說(shuō)你們壓軸出場(chǎng)的議題吧。

OGC557：

我們發(fā)現(xiàn)了蘋(píng)果系統(tǒng)機(jī)制的一些新漏洞。某些協(xié)處理器的固件并沒(méi)有被簽名保護(hù)，所以我們可以通過(guò)這些漏洞，構(gòu)造畸形的代碼，從而控制協(xié)處理器。我們也在研究這里面有沒(méi)有很好的利用方法，可以實(shí)現(xiàn)系統(tǒng)層面的利用，例如越獄。

我們還發(fā)現(xiàn)了蘋(píng)果底層數(shù)據(jù)共享機(jī)制的漏洞。如果你用系統(tǒng)的相機(jī) App 拍照，其他 App 其實(shí)可以在不經(jīng)過(guò)你允許的情況下，在你拍照的一瞬間從內(nèi)存鏡像里把它拿到，相當(dāng)于它可以把你拍攝的照片直接偷出來(lái)。這會(huì)造成重大的隱私問(wèn)題。我們做了驗(yàn)證，任何一個(gè) App 都可以實(shí)現(xiàn)這樣的監(jiān)視功能，還能大搖大擺地通過(guò) AppStore 的驗(yàn)證。

當(dāng)然，最后還有我們的 iOS 10 越獄秀。

雷鋒網(wǎng)：

聽(tīng)說(shuō)現(xiàn)場(chǎng)來(lái)了幾個(gè)神秘的觀眾。

OGC557：

沒(méi)錯(cuò)，有兩位是從以色列來(lái)的，他們來(lái)自剛剛幫助 FBI 破解了那部 iPhone 5c 的 Cellebrite。漏洞對(duì)他們來(lái)說(shuō)是非常重要的，他們也熟悉我們做的事情 ，所以他們這次自己注冊(cè)過(guò)來(lái)了。

另外還有一隊(duì)人來(lái)自蘋(píng)果公司，他們當(dāng)然很關(guān)心我們?cè)谧鍪裁?，于是提前打招呼，說(shuō)他們要來(lái)看看。

雷鋒網(wǎng)：

蘋(píng)果的人看到你們?cè)姜z iOS 10 的時(shí)候，是什么表情。

OGC557：

哈哈哈哈哈哈。。。

【盤(pán)古團(tuán)隊(duì)核心成員TB】

盤(pán)古在研究什么秘密武器？

雷鋒網(wǎng)：

除了越獄之外，盤(pán)古最近還在研究什么秘密武器呢？

OGC557：

我最近在做一個(gè)“iOS 設(shè)備安全監(jiān)測(cè)系統(tǒng)”，這個(gè)系統(tǒng)可以檢測(cè)你的 iPhone 是否被人黑掉或者放置了惡意的東西。這算是我們第一個(gè)用于銷售的產(chǎn)品，針對(duì)企業(yè)和政府的需求。例如鑒定領(lǐng)導(dǎo)的手機(jī)到底安不安全。

雷鋒網(wǎng)：

蘋(píng)果系統(tǒng)被黑的可能性大嗎？

OGC557：

去年的 XcodeGhost 事件爆發(fā)，大家都注意到了蘋(píng)果系統(tǒng)并不安全。有很多隱藏得比較深的攻擊在里面。而且蘋(píng)果對(duì)于 AppStore 上的 App 驗(yàn)證存在一個(gè)缺陷。有很多人已經(jīng)實(shí)現(xiàn)了用一個(gè)經(jīng)過(guò)蘋(píng)果驗(yàn)證的 App 在后臺(tái)下載木馬的攻擊方法。

雷鋒網(wǎng)：

這個(gè)系統(tǒng)怎樣識(shí)別攻擊行為呢？

OGC557：

一般來(lái)說(shuō)，如果一個(gè) App 想要有惡意行為，一定要在系統(tǒng)里面提權(quán)，然后才可以查看“別人”的東西。從系統(tǒng)層看，這種操作一定會(huì)留下痕跡。我們會(huì)利用自己掌握的漏洞，對(duì)文件的完整性進(jìn)行校驗(yàn)，對(duì)進(jìn)程進(jìn)行檢查，對(duì)簽名進(jìn)行檢查。這樣就可以識(shí)別出攻擊行為。由于我們是基于簽名校驗(yàn)和行為分析，所以能夠發(fā)現(xiàn)未知的威脅。

【iOS 設(shè)備安全監(jiān)測(cè)系統(tǒng) 示意圖/盤(pán)古團(tuán)隊(duì)提供】

越獄那些事

雷鋒網(wǎng)：

再說(shuō)說(shuō)越獄吧，盤(pán)古的核心團(tuán)隊(duì)有幾個(gè)人？你們?nèi)绾畏止ぃ?/p>

OGC557：

我們的核心團(tuán)隊(duì)有六個(gè)人，TB（韓爭(zhēng)光），DM557（陳小波），INT80（王鐵磊），windknown（徐昊），曾半仙和我。每次進(jìn)行研究的時(shí)候都是有分工的。比如正好你在這一塊發(fā)現(xiàn)漏洞，我在那一塊挖掘漏洞。最后大家拼裝起來(lái)，一起測(cè)試、適配，才能實(shí)現(xiàn)最后的越獄。

現(xiàn)在我們基本不會(huì)熬夜，除非有重要的節(jié)點(diǎn)，例如馬上要發(fā)布越獄。

雷鋒網(wǎng)：

說(shuō)說(shuō)你印象深刻的越獄故事吧。

OGC557：

去年這個(gè)時(shí)候，我們連著熬了兩個(gè)禮拜的夜，就是為了發(fā)布 iOS 8.4 的越獄，眼看距離我們最后發(fā)布只有兩天時(shí)間了，太極團(tuán)隊(duì)搶先發(fā)布了他們的越獄工具。同樣的 iOS 版本，如果有兩個(gè)團(tuán)隊(duì)同時(shí)放出越獄工具，是對(duì)漏洞的浪費(fèi)，所以這意味著我們趕工兩周的工具就不能發(fā)布了。那次我們真的很郁悶。但是我們還不能休息，需要馬上對(duì)他們的越獄工具做技術(shù)跟蹤，看看有沒(méi)有撞洞（使用和自己相同的漏洞）。幸好那次一個(gè)洞都沒(méi)有撞，我們的武器依然可以在接下來(lái)的版本里使用。

雷鋒網(wǎng)：

你們手里究竟有多少漏洞？

OGC557：

我們的儲(chǔ)備還是挺豐富的。如果蘋(píng)果封堵了現(xiàn)在的漏洞，我們還是可以用另一套漏洞進(jìn)行越獄。我們手里至少有兩套漏洞。

MOSEC：移動(dòng)安全技術(shù)峰會(huì)，由盤(pán)古團(tuán)隊(duì)和POC主辦，關(guān)注移動(dòng)安全領(lǐng)域的頂尖技術(shù)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。