买不起玛莎拉蒂,最次也要被玛莎拉蒂撞死。
这个无厘头的愿望,仔细想想竟然好有道理——那些抢着上王思聪的节目,被“老公”花式鞭挞的网红们,脸上都浮现出享受的神情。
好,作为一个严肃的媒体,雷锋网宅客频道告诉你:其实,每个人,都有,被玛莎拉蒂撞死的机会。
因为在你的 iPhone 上,曾经存在过一个“玛莎拉蒂”般的神级漏洞——三叉戟。
为什么用玛莎拉蒂来比喻三叉戟?他们有三个共同点:
1、玛莎拉蒂价值百万人民币,三叉戟漏洞同样价值百万,美元。
2、有幸被三叉戟漏洞或玛莎拉蒂“碾压”的人,都是祖坟冒青烟的大咖。
3、我回车库看了一下,其实玛莎拉蒂的标志就是三叉戟。
想想,你的 iPhone 上曾经有一套可以换来玛莎拉蒂的漏洞,而你却苦逼地每天搬砖。天啊,即将过去的 2016 就是这么疯狂。
年关岁末,我们来聊聊三叉戟漏洞的狗血故事吧。
故事还是从盘古说起吧。不是盘古开天,是越狱大神盘古。
2016年7月,苹果正在哼着小曲准备一个多月后 iPhone7 和 iOS 10 的重磅发布。iOS 9 的版本此时完美收官在看上去很吉利的 iOS 9.3.3 上。
岁月静好。
24号,周日的午后,盘古团队静静地在网上挂出了越狱工具,通吃 iOS 9.2-iOS 9.3.3。
脑补一下:大洋彼岸,苹果的工程师。
十多天之后,iOS 9.3.4 推送,苹果咬着牙告诉所有的用户:强烈建议升级,否则要粗大事!
这个工程师奋战了无数个昼夜写出的打死不改版的 iOS 9.3.4,看来只做了一件事,就是修复盘古越狱使用的漏洞。
双眼通红的工程师,以为自己终于可以睡个好觉,静待 iOS 10 了。
然而结果是,过了十天之后,苹果又双叒推出了 iOS 9.3.5。。。鬼知道在这十天里工程师们经历了什么。
这十天里,发生了另一个精彩绝伦的故事。
这个故事雷锋网宅客频道(微信搜索:宅客频道)要从阿联酋人权斗士曼苏尔——曼大爷说起。
曼大爷有一台 iPhone6。一天,他突然收到两条短信,对方写道:“我手里有些“猛料”,阿联酋监狱存在虐囚事件!详细链接附在后面。”
然后,是一串短链接。
【曼大爷收到的信息】
你以为曼大爷会焦急地点击查看吗?图样。
实际上,曼大爷可不是软柿子,他就像阿联酋的唐僧,每天被各路妖孽惦记。被算计是他的日常,在过去的日子里,他曾经数次收到过钓鱼链接攻击。所以,这次他想都没想,就把短信转给了好基友:加拿大公民实验室(Citizen Lab)的研究人员。
没错,这一串链接,正是用来攻击曼大爷的。只是,所有的安全研究员都没想到,这个攻击所利用的漏洞,竟然是如此劲爆。
简单说吧,你只要点击了这个链接,你的手机就对黑客透明了。对方甚至能透过手机,闻到你的呼吸。
公民实验室和合作伙伴美国网络安全公司 Lookout Security 惊出了一身冷汗。因为这组漏洞在理论上来说,可以用来控制全世界的 iPhone。
曼大爷无心插柳,不小心发现了 iPhone 史上最大的漏洞,从黑市的价格来看,至少值几百万美元,足够买五台玛莎拉蒂。
安全研究员决定把这个劲爆的消息告诉苹果,这就是 iOS 9.3.5 的来由。这组漏洞被命名为三叉戟。
一边是傲娇的曼大爷,另一边是哭晕在厕所的黑客。
【曼大爷(曼苏尔)和试图搞他的组织们】
这套漏洞的主人是以色列网络军火商 NSO Group,说它是以色列的公司并不准确,虽然 NSO 运营在以色列,但位于旧金山的私募股本公司Francisco Partners在2014年以1.2亿美元的价格收购了 NSO 大部分的股权。
在 LinkedIn 上,可以找到这家公司的一些信息。资料显示这是一家“互联网安全软件解决方案和安全研究领域的独特公司”、“公司主要负责移动和PC环境中的一些独特软件的开发”以及“公司还专攻移动和PC控制环境下一些抢手解决方案”。
看起来都是些废话,不过在资料里公司的“专攻项目”还是泄露了天机:互联网安全、移动安全、网络威胁以及渗透测试等。
简单说来,NSO 就是开发高科技间谍工具的公司。
对于玩“入侵”的公司,漏洞就是他们的“核心科技”。而这组可以用一条链接来控制 iPhone 的漏洞,无疑是漏洞中的皇冠。对于 NSO 来说,这不仅是一组可以制造间谍工具的漏洞,而是他们江湖地位的基石。
脑补一下 NSO 老板叼着烟卷和某国官员谈生意的场景。“我们手里的漏洞,可以让全国的 iPhone 都在你的掌控中,想偷听谁说话就偷听谁说话,想打开谁的摄像头就能打开谁的摄像头!没事还能看美女自拍下载 10G 资源神马的,顺着这条街你出去问问,谁还能办到?”
【电影《1984》中,老大哥无时无刻不在看着你】
iOS 9.3.5,让 NSO 一夜梦碎。用玛莎拉蒂撞人,不但没成功,车还被罚没了。
虽然看了这么多,但你可能还没 get 到三叉戟漏洞的逆天之处。
关键词是:“远程攻击”。
雷锋网宅客频道(微信搜索宅客频道)先来科普一下。对于 iPhone 来说,越狱和攻击在原理上是一码事,都是利用漏洞破坏掉 iOS 的安全机制。只不过,越狱之后,iOS 的掌控权在机主手里;而被攻击之后, iOS 的掌控权在黑客手里。
如此说来,凡是玩过越狱的童鞋,其实都对自己的手机发起过“攻击”。你可能记得,无论是用盘古还是太极的越狱工具,都需要把手机连接到电脑上。这是因为,随着几年的发展迭代,iOS 的安全机制已经非常健全,虽然越狱大牛们可以做到利用漏洞干掉 iOS 的防御系统,但是这种攻击只能在本地发起。简单说来,攻击者必须能够接触到被攻击手机,还要有充足的时间连接到电脑上运行越狱程序。
这其实不太酷。在我们的想象中,真正的攻击应该是羽扇纶巾的黑客轻轻点击鼠标,千里之外樯橹灰飞烟灭。
在三叉戟漏洞爆出之后,360涅槃团队的高雪峰告诉雷锋网宅客频道:
iOS 在每一次大版本的升级中,几乎都会加入一个非常有力的安全防护机制,如今五年过去,远程越狱 iOS 的难度成几何数级增长,尤其是 iOS 7 之后,这种级别的漏洞几乎绝迹,所以远程越狱的难度根本不能同日而语。
意大利小子 luca 曾经放出过一段视频,是通过safari越狱 iOS 9.3.2,但是在市面上是没有的。
至于上一次有人公开发布远程越狱 iOS 工具,还是在五年以前。
高雪峰说:
在 iOS 的早期,远程越狱是曾经实现过的,但是上一次有黑客团队实现对 iOS 的远程越狱,还是 iOS 4.3.3时代。 黑客 comex 发布的远程越狱工具,在Safari浏览器访问http://www.jailbreakme.com 即可越狱。
所以,在三叉戟之前,远程攻击 iOS 9.X,是一个江湖传说。“主流黑客”们或多或少相信这种漏洞的存在,但是从未有人亲眼见过这个“神器”。世界著名漏洞军火商 Zerodium 曾经悬赏100万美金收购远程攻击 iPhone 的漏洞,据说有黑客真的成功卖给了他们。这也证明了世界上确实还存在这样逆天的漏洞。
NSO联合创始人Omri Lavie 曾经接受军事贸易国防新闻刊物的采访,他说:
我们完全像是幽灵,对于攻击目标来说,我们是完全透明的,不会留下任何痕迹。
在黑客眼里,这真是一句完美的赞叹。
先科普一下,iOS 的安全级别大致分为应用层、系统层和内核层(层级越高,权限越大)。而如果想要越狱一部 iPhone,实际上是拿到内核权限。这需要逐层突破层层守卫,所以越狱往往需要几个漏洞层层配合才能实现。
实际上,三叉戟漏洞由三个漏洞组成。(不然为什么要叫三叉戟呢?)
漏洞1:远程突破iOS的Safari浏览器漏洞;
漏洞2:使内核信息泄露的漏洞;
漏洞3:用于在内核中执行任意代码的漏洞。
【苹果在 iOS 9.3.5 升级中给出的三叉戟漏洞详情】
盘古的越狱大神们在第一时间解剖了“三叉戟”,核心成员 DM(陈晓波)为我们还原了这种“远程越狱”的全过程:
1、攻击者首先通过 SMS 短信把一个链接发送给目标任务,当目标任务点击链接之后,会访问攻击者的一个网站。
2、攻击者的网站上会放置一个针对 Mobile Safari 的攻击程序,这个程序中,包含了MobileSafari Javascript 引擎的一个 0day 漏洞。
3、攻击程序被执行之后,攻击者会通过浏览器获得手机的执行权限。此时攻击者的权限还只是被囚禁在沙盒之内。
4、接下来,攻击者通过两个内核漏洞(一个内核信息泄露漏洞+一个内核代码执行漏洞)获得内核执行权限。
5、获得内核执行权限后,攻击者就完成了手机越狱。这时他会关闭一些iOS的安全保护机制,比如开启 rootfs 的读写,关闭代码签名等等。
6、完成攻击之后,入侵者就成为了手机的“主人”,可以实现对手机通信、流量的全面监听。
讲真,这组漏洞之完美,让 DM 也难掩赞叹:
这个 JavaScript 漏洞是可以在系统开机的时候攻击 iOS 系统。也就是说系统重启的时候,还会走一遍攻击流程,这有点类似之前的“完美越狱”。
【iOS 9.3.5 更新】
苹果,用升级 iOS 的方式官方宣告了三叉戟的存在。
在升级提示中,苹果写道:
本次更新提供了重要的安全性更新,推荐所有用户安装。
这句简单的描述,湮没了所有可能无法追寻的真相。
三叉戟漏洞在“野生”环境中存在了多久?
三叉戟漏洞究竟被多少人掌握?
三叉戟漏洞曾经被哪些人使用,又对谁做了什么?
这些问题,即使是 NSO 都无法准确回答。一位 NSO 的某前雇员在接受《福布斯》采访时说的话,也许能够让你管中窥豹:
我知道很多有关NSO产品的事,也知道它如何运作,但我没法公布这些消息。如果我说了,会失去很多东西。公司只会将产品,卖给授权的政府机构,公司贸易行为完全符合出口管制法律法规。
关于这个漏洞的锋芒,还有一些公开的事实。
2015年,巴拿马当地媒体报道,巴拿马政府购买 NSO 的间谍程序,为此给 NSO 支付了1060万澳大利亚元,用以“针对移动设备信息的收集”。
毫不夸张地说,只要你有一部 iPhone,就有可能是三叉戟的受害者。而且,你可能永远无法知道自己是否被攻击过,或正在被攻击。
然而,从另一个角度来说:最可怕的漏洞,往往是又是最安全的。
例如:核武器拥有最狂暴的杀伤力,但普通人死于核武器的概率,远远低于死于车祸的概率。
“玛莎拉蒂级别的漏洞,不会轻易用在 Diors 身上。”
虽说满满负能量,但事实如此。
如果你不是人权斗士,或者异见人士,很可能如空气一样被忽视。顶尖黑客和各国政府依靠常识和理智,让三叉戟这个怪兽和这个世界维持着精妙的平衡。但是在苹果推出 iOS 9.3.5 的一瞬间,世界的格局发生了彻底的颠覆。
因为从这一刻开始,三叉戟的原理不再是秘密,几乎一个脚本小子都可以远程攻击一部未升级的 iPhone。至此,难得一见的“玛莎拉蒂”变成了遍地开花的“一汽夏利”。
【知乎用户arju对于三叉戟漏洞的看法】
核武器按钮掌握在总统手里,并不危险。当暴民冲进总统府抢到了核武器按钮,才是末日。
那天早晨,你坐在餐桌前收到 iOS 9 的收官之作 9.3.5 推送时,一定没有想到,氤氲的咖啡雾气背后,是一个惊心动魄的末日故事。
即使安全体系再完善,总有可以攻破的方法。
世界上绝不可能仅有一个三叉戟。
面对这个事实,苹果可以选择漠视,就像2016年之前他们做的那样;苹果也可以选择行动,就像现在他们做的那样。
高雪峰说,在三叉戟爆发之前几周,在美国举行的黑客顶级会议 BlackHat 上,苹果的安全研究员刚刚预告了苹果将要推出的,对提交 iOS 漏洞的奖励机制“Apple Bounty Program”,一个 iOS 漏洞最高可以获得20万美金的奖励。
三叉戟爆发之后,付出代价的苹果加快了行动。这就是9月那场著名的“鸿门宴”。
苹果低调地向全世界 iOS 黑客大牛发出邀请函,邀请他们到位于库比蒂诺的苹果总部与苹果高层见面。有关这次会面的一切,苹果都和黑客们签订了保密协议。
从泄露的受邀名单来看,这些越狱黑客都是响当当的人物,包括意大利黑客 Luca Todesco、德国安全专家 " 树人 "Stefan Esser(i0n1c)、神作 JailbreakMe 的作者 Nicholas Allegra(comex)、加拿大年轻黑客 iH8sn0w 、中国的盘古团队、360涅槃团队、腾讯科恩实验室等。
某位参加了会面的大牛表示,这次会面虽然没有外界猜测的那么神秘,但是却昭示了苹果态度的转变:
之前他们相对傲慢,认为自己的安全团队很厉害,不需要你们帮我发现。而这次和我们会面主要目的是放低姿态,认可你们这些人,帮我积极发现问题,共同促进苹果安全。
另外,这次“鸿门宴”上, 苹果还正式发布了“Apple Bounty Program”赏金计划,但是只有参加了这次会面的黑客,才有资格提交漏洞获取赏金。
苹果第一次放下身段,对越狱大神们笑脸相迎。但可能只有上帝才知道,这些越狱大神背在身后的手上,是不是真的握有另一个三叉戟。而那些仍旧飘荡在法外之地的“三叉戟”们,究竟掌握在谁的手里?
天平两端,一边是沉甸甸的金钱和闪光欲望。另一边,是脆弱的良知。
2016年,这架天平倾覆了一次。