MOSEC:盘古团队的野心优雅
盘古,中国最早越狱 iOS 的黑客团队。
曾经无数人在屏幕前彻夜刷新,期盼他们越狱工具的放出。几年间,盘古的几位核心成员已经从小鲜肉变成了老鲜肉,与此同时,众多盘古的粉丝也已经成为了中国移动安全的中坚力量。对于他们所有人来说,MOSEC是一种精神故乡。
MOSEC 的中文名字“移动安全技术峰会”听起来不太性感,但是它却是如假包换的盘古主场。2016年的7月1日,这群老黑客延续了盘古“一言不合,就用越狱说话”的风格。毫无防备地放出 iOS 10 Beta 版越狱 Demo。
现场的掌声中,好像都喷溅着黑客的血液。
雷锋网独家采访到了盘古团队核心成员 OGC557,听他讲述了 MOSEC 和盘古团队的最新动向。
MOSEC 现场,360 龚广(画右)展示利用漏洞查看 Wi-Fi 密码,左为盘古团队成员陈小波
iOS 10 的越狱有多难?
雷锋网:
你们为什么会在 MOSEC 现场展示 iOS 10 Beta 版的越狱视频?
OGC557:
其实这是我们的临时决定。我们本来想拿 9.3.3 的越狱去秀一下,但是就在几周前的 WWDC 上,苹果发布了 iOS 10,我们研究了一下发现,本来我们准备好的用来越狱的一套漏洞,其中有两三个在 iOS 10 上被干掉了。我们觉得不甘心,虽然时间很紧张,但是我们仍然成功地找到了新的漏洞,完成了 iOS 10 Beta 1 版的越狱。在现场放这个视频,目的很简单,就是告诉大家盘古团队仍然在努力,我们有能力在最新的系统上获得想要的东西。
雷锋网:
在 iOS 10 上,苹果的安全机制做了哪些升级?
OGC557:
现在苹果只发布了 iOS 10 Beta 1 版。根据现有的情况来看,(安全机制的)外观上没有明显的提升,但是在内核的利用,安全机制的修补还有沙盒的安全性上做了改进。比如说我们之前准备的漏洞,有一个是用于沙盒逃逸的,在9.3.3的安全机制上这个漏洞起作用,而在 iOS 10 上就用不了了。
但是要知道,这只是第一个测试版,在以后的测试版或正式版中,苹果有可能做出安全性的重大升级,这件事在以前也经常发生。
iOS 10 Beta 1 越狱安装Cydia /图片由盘古团队提供
雷锋网:
既然如此,iOS 10 越狱到底有多难呢?
OGC557:
有一个意大利小伙子(Luca Todesco)最近一直在放 iOS 9.3.X 的越狱图片,但是最近他在 Twitter 上说,他掌握的重要漏洞在 iOS 10 上都废了。
目前来看,外界没有人放出消息,说在 iOS 10 上取得突破,所以我也不知道其他人的感觉怎么样。不过因为我们自己的技术已经突破了,所以感觉不是那么难。
雷锋网:
盘古团队计划发布 iOS 10 的越狱工具吗?
OGC557:
我们目前还没有发布越狱工具的计划。因为你知道,有些漏洞不单单可以用来越狱,还可以在我们的产品上实现对客户安全保护的价值。
公布一个越狱工具,意味着其他的研究人员,包括苹果都可以看到我们使用了什么漏洞。虽然我们在 iOS 越狱和 iOS 安全产品中使用的是两套不同的漏洞,但是公布一个漏洞很可能给别的黑客启发,暴露了我们其他的漏洞。这是我们谨慎的原因。
从目前世界上的情况来看,我们没有压力,因为对手的进度看起来并不乐观,所以我们会等等看。
雷锋网:
除了你们,还有谁有实力越狱呢?
OGC557:
我刚才说的意大利小伙一直从事iOS相关的研究,并且公布过 Yalu 越狱,他可能有希望。国内的话科恩实验室曾经在mobile pwn2own中攻破过iPhone,对iOS/macOS的安全也很有研究。
MOSEC 上,黑客大神们说了神马?
雷锋网:
这是盘古第二年举办 MOSEC(移动安全技术峰会)了,相比第一次有什么不同?
OGC557:
直观来看,就是规模翻了一倍。而且我们的特色就是移动安全领域技术类的顶尖干货,所以技术水准是非常高的。
雷锋网:
技术大牛都分享了哪些顶尖技术,给我们讲一讲吧。
OGC557:
美国黑客 JL 的议题是 iOS 和 Android 的启动安全机制分析。
iOS 系统启动时,从引导开始就会对加载的东西进行校验,保证每一步向下走都是安全的。甚至在引导阶段,后面的代码都是加密的,所以你根本无法看到它的固件是怎样工作的。
当然,在早期的 iOS 版本里,一些黑客曾经发现过 Bootrom 的漏洞,也就是突破了这条启动链。这样的突破可以在最早的阶段接管手机,甚至还没到解锁输密码这个步骤,手机就可以被我们接管了。你懂的。
但是现在这种漏洞很难找到了,因为启动阶段的流程不会很复杂,只是简单的解析、加载、校验,存在隐患的概率不高。不过最近在 Android 系统内,引进了类似的安全链机制。对于 Android 系统来说,这个功能是新加入的,所以还可能存在一些漏洞。
他的议题就是详细介绍这两者的安全机制的异同,启发其他黑客做进一步的研究。
另外还有科恩实验室的议题,他们展示了使用一个 Android 系统的 0Day 漏洞。
这个漏洞是他们最新发现的。从他们的演讲来看,这个漏洞的质量非常高,应该是可以通杀所有的 Android 系统。这个漏洞已经报给了厂商,但是由于谷歌还没有放出补丁,所以他们并没有对漏洞利用的详情进行讲解。
雷锋网:
说说你们压轴出场的议题吧。
OGC557:
我们发现了苹果系统机制的一些新漏洞。某些协处理器的固件并没有被签名保护,所以我们可以通过这些漏洞,构造畸形的代码,从而控制协处理器。我们也在研究这里面有没有很好的利用方法,可以实现系统层面的利用,例如越狱。
我们还发现了苹果底层数据共享机制的漏洞。如果你用系统的相机 App 拍照,其他 App 其实可以在不经过你允许的情况下,在你拍照的一瞬间从内存镜像里把它拿到,相当于它可以把你拍摄的照片直接偷出来。这会造成重大的隐私问题。我们做了验证,任何一个 App 都可以实现这样的监视功能,还能大摇大摆地通过 AppStore 的验证。
当然,最后还有我们的 iOS 10 越狱秀。
雷锋网:
听说现场来了几个神秘的观众。
OGC557:
没错,有两位是从以色列来的,他们来自刚刚帮助 FBI 破解了那部 iPhone 5c 的 Cellebrite。漏洞对他们来说是非常重要的,他们也熟悉我们做的事情 ,所以他们这次自己注册过来了。
另外还有一队人来自苹果公司,他们当然很关心我们在做什么,于是提前打招呼,说他们要来看看。
雷锋网:
苹果的人看到你们越狱 iOS 10 的时候,是什么表情。
OGC557:
哈哈哈哈哈哈。。。
盘古团队核心成员TB
盘古在研究什么秘密武器?
雷锋网:
除了越狱之外,盘古最近还在研究什么秘密武器呢?
OGC557:
我最近在做一个“iOS 设备安全监测系统”,这个系统可以检测你的 iPhone 是否被人黑掉或者放置了恶意的东西。这算是我们第一个用于销售的产品,针对企业和政府的需求。例如鉴定领导的手机到底安不安全。
雷锋网:
苹果系统被黑的可能性大吗?
OGC557:
去年的 XcodeGhost 事件爆发,大家都注意到了苹果系统并不安全。有很多隐藏得比较深的攻击在里面。而且苹果对于 AppStore 上的 App 验证存在一个缺陷。有很多人已经实现了用一个经过苹果验证的 App 在后台下载木马的攻击方法。
雷锋网:
这个系统怎样识别攻击行为呢?
OGC557:
一般来说,如果一个 App 想要有恶意行为,一定要在系统里面提权,然后才可以查看“别人”的东西。从系统层看,这种操作一定会留下痕迹。我们会利用自己掌握的漏洞,对文件的完整性进行校验,对进程进行检查,对签名进行检查。这样就可以识别出攻击行为。由于我们是基于签名校验和行为分析,所以能够发现未知的威胁。
iOS 设备安全监测系统 示意图/盘古团队提供
越狱那些事
雷锋网:
再说说越狱吧,盘古的核心团队有几个人?你们如何分工?
OGC557:
我们的核心团队有六个人,TB(韩争光),DM557(陈小波),INT80(王铁磊),windknown(徐昊),曾半仙和我。每次进行研究的时候都是有分工的。比如正好你在这一块发现漏洞,我在那一块挖掘漏洞。最后大家拼装起来,一起测试、适配,才能实现最后的越狱。
现在我们基本不会熬夜,除非有重要的节点,例如马上要发布越狱。
雷锋网:
说说你印象深刻的越狱故事吧。
OGC557:
去年这个时候,我们连着熬了两个礼拜的夜,就是为了发布 iOS 8.4 的越狱,眼看距离我们最后发布只有两天时间了,太极团队抢先发布了他们的越狱工具。同样的 iOS 版本,如果有两个团队同时放出越狱工具,是对漏洞的浪费,所以这意味着我们赶工两周的工具就不能发布了。那次我们真的很郁闷。但是我们还不能休息,需要马上对他们的越狱工具做技术跟踪,看看有没有撞洞(使用和自己相同的漏洞)。幸好那次一个洞都没有撞,我们的武器依然可以在接下来的版本里使用。
雷锋网:
你们手里究竟有多少漏洞?
OGC557:
我们的储备还是挺丰富的。如果苹果封堵了现在的漏洞,我们还是可以用另一套漏洞进行越狱。我们手里至少有两套漏洞。
MOSEC:移动安全技术峰会,由盘古团队和POC主办,关注移动安全领域的顶尖技术。
宅客『Letshome』
雷锋网旗下业界报道公众号。
专注先锋科技领域,讲述黑客背后的故事。
点击阅读原文,我们来聊聊100个顶级黑客的故事。