猛料！盘古团队+涅槃团队大牛详解 iOS 史上最大漏洞

没想到，这次低调的升级却牵出了 iOS 历史上最大的漏洞。

先科普一下，iOS 的安全级别大致分为应用层、系统层和内核层（层级越高，权限越大）。而如果想要越狱一部 iPhone，实际上是拿到内核权限。这需要逐层突破层层守卫，所以越狱往往需要几个漏洞层层配合才能实现。

早在苹果发布此次安全性更新的前一天，以曝光大规模监视任务为己任的，多伦多蒙克全球事务学院的公民实验室就发布了关于发现苹果 0Day 漏洞的详细研究报告，并将它们命名为“三叉戟”漏洞。这组漏洞究竟有多牛X呢？

1、这组漏洞全部是 0Day 漏洞。即在曝光之前，除了漏洞的发现者，没有任何人知道这个漏洞的存在；

2、用户只需要轻轻点击黑客发来的的链接，手机就会被远程越狱。黑客瞬间获得手机的最高权限；

3、利用最高权限，黑客可以远程对用户的iPhone进行操作、控制，查看手机摄像头、窃听用户谈话和录音、查看用户的应用信息，可以说是为所欲为。

讲真，利用一个链接，就可以彻底控制你的 iPhone，这种级别的 iOS 漏洞，一直是个江湖传说。人们经常说起，但就是没有人见过。

那么这组漏洞究竟为神马被曝光出来呢？故事的起因是这样的：

最初给公民实验室提供线索的是阿拉伯人权斗士曼苏尔。8月10日与11日，曼苏尔收到了两条声称含有囚犯在阿联酋监狱中遭到折磨的“秘密”，点击文中链接即可查看。曼苏尔觉得此事蹊跷，把线索提供给了公民实验室，公民实验室从链接顺藤摸瓜，挖出了“幕后黑手”NSO Group。

曼苏尔收到的两条短信

据江湖传言，一直盯着iOS系统的黑客们似乎知道有这种漏洞的存在，但在Lookout 与公民实验室发布研究报告之前，从未有人亲眼见过这个漏洞的存在。世界著名漏洞军火商 Zerodium 也曾花100w刀成功收购过类似的漏洞，但不知道是否与此次报告中的漏洞有关。

雷锋网在第一时间采访到了国内顶级 iOS 越狱团队盘古的核心成员 DM557（陈晓波），他们也是目前全球唯一（公开表示）拥有越狱iOS 10 Beta 的团队。

DM557 为我们还原了这种“远程越狱”的全过程：

1、攻击者首先通过 SMS 短信把一个链接发送给目标任务，当目标任务点击链接之后，会访问攻击者的一个网站。

2、攻击者的网站上会放置一个针对 Mobile Safari 的攻击程序，这个程序中，包含了MobileSafari Javascript 引擎的一个 0day 漏洞。

3、攻击程序被执行之后，攻击者会通过浏览器获得手机的执行权限。此时攻击者的权限还只是被囚禁在沙盒之内。

4、接下来，攻击者通过两个内核漏洞（一个内核信息泄露漏洞+一个内核代码执行漏洞）获得内核执行权限。

5、获得内核执行权限后，攻击者就完成了手机越狱。这时他会关闭一些iOS的安全保护机制，比如开启rootfs的读写，关闭代码签名等等。

6、完成攻击之后，入侵者就成为了手机的“主人”，可以实现对手机通信、流量的全面监听。

通过漏洞可获取的信息图示

另外，作为越狱大神，DM557 也没有吝惜对这种越狱的赞赏之情。:

这个 JavaScript 漏洞是可以在系统开机的时候攻击iOS系统。也就是说系统重启的时候，还会走一遍攻击流程，这有点类似之前的“完美越狱”。

雷锋网(公众号：雷锋网)也采访到了专注 iOS 安全研究的 360 涅槃团队负责人高雪峰，他告诉雷锋网，

在 iOS 的早期，远程越狱是曾经实现过的，但是上一次有黑客团队实现对 iOS 的远程越狱，还是 iOS 4.3.3时代。 黑客 comex 发布的远程越狱工具，在Safari浏览器访问

http://www.jailbreakme.com 即可越狱。（感兴趣的童鞋可以戳进去怀旧一下，如果你真的还在用 iOS 4.3.3，也可以尝试一下越狱。。。）

iOS 4.3.3，已经是2011年的往事了。高雪峰强调：

iOS 在每一次大版本的升级中，几乎都会加入一个非常有力的安全防护机制，如今五年过去，远程越狱 iOS 的难度成几何数级增长，尤其是 iOS 7 之后，这种级别的漏洞几乎绝迹，所以远程越狱的难度根本不能同日而语。

意大利小子 luca 曾经放出过一段视频，是通过safari越狱 iOS 9.3.2，但是在市面上是没有的。

【CVE-2016-4655 CVE-2016-4656 CVE-2016-4657  分别为webkit漏洞，用户点击漏洞触发；内核信息泄露漏洞；内核内存损坏漏洞，相结合达到突破iOS系统权限/图片由 360 涅槃团队提供】

盘古团队大牛 DM557 说：

这三个 0Day 漏洞的质量极高，在这件事被曝光出来以前，远程越狱攻击最新的 iOS 系统就是一个传说。我不觉得这是个远程越狱攻击这么简单了，这就是一个针对最新 iOS 手机的远程 APT 攻击了。（APT：高级持续性威胁，一般是国家间或国际公司间为了特定目标而持续攻击的顶级黑客组织所为。）

其实，就在这个漏洞曝光前，盘古团队也发布了针对移动设备 APT 的检测工具，感兴趣的童鞋可以戳 http://pwnzen.com/apt.html

高雪峰还提到了一个有趣的背景，在今年8月美国举行的黑客顶级会议 BlackHat 上，苹果的安全研究员刚刚提出对提交 iOS 漏洞的奖励机制，一个 iOS 漏洞最高可以获得20万美金的奖励。

但是对于这种远程漏洞，苹果并没有奖励计划。原因是这种漏洞破坏力太大，用在黑产之中，可以获得难以想象的巨大利益，所以苹果根本没有奢望有人会把这样的漏洞提交给自己。

总结来说，在 iOS 的世界里，已经存在了一种凶狠的“瘟疫”，可以分分钟让你的 iPhone 天塌地陷。然而，幸亏我们已经拥有了抵挡这种“瘟疫”的疫苗。这就是 iOS 9.3.5。只要轻轻点击升级系统，就可以从这片恐怖的危机海洋中上岸。

然而，谁又能知道，是否还有和“三叉戟”一样凶残的漏洞正在地下涌动，在人们猝不及防的时候，再次席卷世界呢？