iOS 现史诗级越狱漏洞,老设备均中招
技宅空格iOS 越狱一直以来都是国内外专业安全人员研究的一大课题。「越狱」是一个非常艰难的过程,研究人员要在 iOS 这个完全不开源的系统中找到可以突破的系统漏洞,通过对这个漏洞进行研究与验证,最终取得系统的最高权限。
在安全研究领域进行的越狱和我们所接触到的通过越狱工具实现的越狱有一些不一样,出于研究目的进行的越狱只是去「发现」某个未知的漏洞去取得系统的最高权限(类似于 Android 的 root 权限),而越狱工具则还需要基于漏洞的细节编写一个稳定的利用代码,制作成全自动的利用工具,同时为 Cydia 及其相关的功能提供稳定支持。
所以我们接触到的 iOS 越狱漏洞只是 iOS 众多系统漏洞中的一小部分,有很多漏洞被安全人员发掘出来之后并没有公开漏洞细节,也没有进一步编写越狱工具,亦或是漏洞本身不怎么稳定,不适合做所谓的「完美越狱」。
换句话说,iOS 存在的系统漏洞会比你我所接触到的要多。然而,虽然这么多年来每一代 iOS 都会被找出能够越狱的漏洞,并且有相关的越狱工具出现,但一直以来没有任何一个漏洞是基于硬件进行突破的,每一次的越狱漏洞苹果通过一个系统更新就能直接补上,不涉及到硬件层面微代码的更新亦或是硬件的迭代。
只要你的系统保持在一个最新的状态,越狱在你的 iOS 设备上就是一个「不可能实现的操作」。也正是因为这一点,iOS 的安全性一直都让用户非常放心。
然而在近期,国外一名黑客的新动作击溃了坚固的 iOS,一款能够称得上是「史诗级」的越狱漏洞浮出水面,对越狱界来说,这一漏洞可以说是有着划时代的意义。
大约在 4 天前,Twitter 上一位 id 为 axi0mX 的 iOS 研究人员向全世界公开了一个全新的 iOS 越狱漏洞,名为「checkm8」。这并非是一个面向新设备的越狱漏洞,而是一个覆盖了 iPhone 4S(即 A5 芯片)到 iPhone 8 以及 iPhone X(即 A11 芯片)这几代所有设备的越狱漏洞,它对 iPhone 和 iPad 都是有效的。
根据这位研究人员的描述,漏洞之所以被称为是「史诗级的越狱漏洞」,主要是因为这一漏洞是「永久的」、「不可被修补的」。
根据上文的内容,我们可以知道历史上 iOS 设备没有出现过任何一个硬件层面的漏洞,所有的漏洞都是软件层面的,属于 iOS 某个特定版本的,苹果只需要向用户推送系统更新就能够实现对越狱漏洞的修补、封杀。
而这一次被放出的「checkm8」却是一个从硬件层面突破的漏洞,这个漏洞出在设备的bootrom上。目前这一漏洞已经被作者开源至 GitHub,由于作者只是出于安全研究来挖掘这一漏洞,所以作者并不提供完备支持 Cydia 的越狱工具,而且利用这一漏洞进行越狱是所谓的「不完美越狱」,即设备每次需要连接到电脑才能激活越狱漏洞。
由于这一漏洞的相关细节已经被开源,所以后续我们可能可以见到这一漏洞的升级、变形亦或是完善的越狱工具。
bootrom 上存放的是 iOS 在启动时必须要加载的一段程序,这一段程序被保存在主板上一个单独的 ROM 上,通俗点说,这是一段存放在特别芯片上的、只能读取但没有办法用系统更新等手段进行修改的程序。
这一段程序在 iOS 设备出厂之后就注定是不可更改的了,所以出现在这一段程序上的漏洞是苹果根本没有办法去修复的。
基于这个漏洞,配合作者放出的工具「ipwndfu」,黑客能够实现对使用 A5 - A11 芯片的任意设备进行越狱,无视系统版本。这个漏洞可以被用于提取 SecureROM、给 iOS 的钥匙包进行提取和解码、降级设备以启用 JTAG。
对于这一漏洞的发现,axi0mX 表示这一漏洞是他通过逆向 iOS 12 Beta 中苹果给 Apple Recovery USB(iBoot USB)打上的一个关键漏洞补丁发掘出来的,进而实现了基于 bootrom 的突破。这也正是为什么在最新两代的 iPhone 上 checkm8 并不存在,这是因为这一漏洞是苹果已经察觉到并进行了修补的。
不过对于旧设备,由于漏洞出现在 bootrom 上,所以苹果对此也无能为力,只是很不巧这一漏洞被 axi0mX 通过逆向发掘出来了。
基于逆向发掘漏洞看上去技术含量可能会更低一些,但是对于黑客来说,这是一种非常高效的发掘系统漏洞的方式。网络上很多流传出来的 Windows 漏洞的利用代码,例如今年几个很关键的 RDP(远程桌面)远程命令执行的漏洞,其利用代码就是圈内牛人通过对微软补丁的逆向以及在旧版本操作系统上进行调试而编写出来的。这一系列的操作仍然非常考验技术,并非说这个漏洞是通过逆向得出而不是自己探索发现得出就没有技术含量了。
要知道近 10 年来从来没有一款 iOS 设备在硬件上被突破,axi0mX 发掘出来的这一个 bootrom 漏洞是切实具有一定划时代意义的。这一漏洞的相关推特已经得到了越狱圈内很多知名人士、组织的转发,事实证明这一越狱漏洞确实很强很厉害。
那么问题来了,这一个漏洞对使用旧设备的 iOS 用户来说有什么影响,对于越狱玩家来说这个新漏洞的出现有什么意义?
首先原作者已经有提到这一个漏洞是需要通过物理接触才能触发的,它没有办法通过网络远程触发、远程执行代码。这意味着这一漏洞被利用来安装恶意程序的可能是很低的,在笔者的想象力下,只有充电桩、共享充电宝这样的场景才会涉及到一个物理的接触。
然而,我们假设一款充电桩有利用这一漏洞的程序,而且它在你的手机内安插了恶意程序,由于这个漏洞是在内存中有效的,而内存一旦断电就会丢失其中存储的所有数据,所以只要重启之后,这一个漏洞就需要再次通过物理充电桩进行激活才能用。
所以这一漏洞用来被安装恶意程序是基本不可能的,而且它目前来看也不需备绕过 Touch ID 保护的功能,苹果默认会利用密钥对手机内的所有数据进行加密,也就是说,通过这一个漏洞获取用户个人信息、个人数据也是不可能的。
然而,对于所谓的「贼赃」,亦或是水货机等等,由于这个漏洞实现的是无视系统版本的越狱,它可以进行任意的设备降级、升级,无视苹果的限制,甚至是任意刷机。受害范围内的这一批 iOS 设备的基带锁等都可以被直接解开,而所谓的「贼赃」也可以通过这个漏洞来进行清洗。
说白了就是,如果你的 iPhone 丢失了,它很不巧是受害范围内的设备,那么它很有可能再也找不回来了,即使是锁机通过这个漏洞也是可以解开刷入新系统绕过激活继续使用的。
在社交平台上,有网友提出了更疯狂的想法,既然这个漏洞可以允许 iPhone 8、iPhone X 及以下任意代的 iPhone 刷机,这意味着让 Android 运行在 iPhone 上成为了一种可能,只要能够做出一个适配 iPhone 的 ROM 包,再通过这一漏洞刷机,iPhone 变 Android 机不是不可能。
笔者比较期待后续有能力的网友们基于这一漏洞的各种花式应用,尤其是在 iPhone 上运行 Android,一听就感觉非常有意思。
不过就安全来说,在这一漏洞公开之后 iPhone 8、iPhone X 及其以下几代的旧设备固然不再安全,虽然用户数据不怎么受影响,但是市场的水会变得更深,用户手机丢失之后的找回都会变得更加麻烦,对于我们这些用户和消费者来说这并不是好事。
