12月14日，蘋果正式向用戶推送了iOS最新版本系統(tǒng)iOS11.2.1軟件更新。而僅僅在幾個小時之后，這一軟件便被阿里巴巴旗下潘多拉實驗室實現(xiàn)完美越獄。

[[215099]]

對于“越獄”這樣極具技術(shù)挑戰(zhàn)性的工作，不僅僅是和時間的賽跑，也是技術(shù)人員對于自身的挑戰(zhàn)。幾個小時的時間，他們是如何成功越獄iOS 11.2.1的？

幾小時：沒有捷徑只有長期積累

在繼IOS11.2版本發(fā)布后，蘋果發(fā)布了IOS 11.2.1更新版本，這個版本是在IOS 11.2的基礎(chǔ)上面修復了之前被爆出的HomeKit漏洞，據(jù)了解，攻擊者可以利用這個安全漏洞輕松控制那些支持HomeKit的設(shè)備，甚至是家中的智能門鎖。

然而僅僅在幾個小時之后，iOS 11.2.1 系統(tǒng)又被成功越獄，這也意味著iOS 11.2.1 系統(tǒng)仍然存在安全漏洞。阿里安全潘多拉實驗室研究人員、iOS 11.2.1越獄主要研究人員龍磊表示，iOS 11.1 包含有存在缺陷的、可以被繞過的SMAP 機制。蘋果在iOS 11.2 中修復了這個漏洞，迫使研究人員尋找其他繞過SMAP 的方法。此外，龍磊曾向蘋果報告7 處安全缺陷。

此外，在老的iOS版本中，安全研究人員還可以通過mach_zone_force_gc接口來觸發(fā)內(nèi)核GC，否則就只能填充同類型的數(shù)據(jù)。但在iOS 11中蘋果禁用了mach_zone_force_gc接口，所以就需要新的觸發(fā)內(nèi)核GC的方式。

同時，與“非完美越獄”不同，“完美越獄”具有技術(shù)含金量，在重啟手機后，還能自動執(zhí)行越獄代碼，在重啟前完成越獄。

“越獄是一件非常具有技術(shù)挑戰(zhàn)性的工作，也是每個iOS安全研究者都想去攀登的一個高峰。”龍磊興奮的說道。

[[215100]]

事實上，在此次完美越獄的背后，是長時間的經(jīng)驗積累和默默研究。據(jù)龍磊介紹，阿里安全部門從2014年年底開始便已經(jīng)關(guān)注越獄方面的相關(guān)內(nèi)容。一開始比較順利，安全人員重點關(guān)注在通用漏洞挖掘工具上，卻忽略了對蘋果安全機制本身的研究，而這卻是最為重要的。

直到2016年出現(xiàn)了轉(zhuǎn)機。在新同事的加入下，團隊開始采用一些新的思路和辦法來做越獄。“除了這種用漏洞挖掘工具以外，開始去對這個操作系統(tǒng)進行一些比較深入的研究。在這種新的思路和方式的幫助下，我們比較快的完成了第一次越獄。”龍磊回憶到。

隨后的2016年整個團隊就在找到漏洞、完成越獄和被蘋果修復，這三種狀態(tài)之間來回切換。

進入2017年，隨著研究的深入和經(jīng)驗積累，可以實現(xiàn)快速的應對蘋果安全升級，并且有一定的預判能力。龍磊感嘆道：“其實并沒有快捷的路徑去快速發(fā)現(xiàn)漏洞并完成越獄，背后是一個長期積累的過程。”

據(jù)介紹，iOS系統(tǒng)的每一次升級都有可能引入新的安全緩解技術(shù)，修補一些未經(jīng)公開的漏洞，這會加大漏洞利用的難度，所以每一次升級都會給安全研究人員提出新的挑戰(zhàn)。為了能夠在最短時間內(nèi)完成對最新版本的越獄工作，安全研究人員不僅要能挖掘出可以獨立提權(quán)的漏洞，還要有不一樣的思路，以免手上的漏洞和其他人撞車，或者是被Apple意外補上。

不僅僅是越獄：從系統(tǒng)的層面看待安全問題

阿里安全潘多拉實驗室組建于2017年，此前僅在阿里先知創(chuàng)新大會上露過一次面，安全研究員用視頻演示了安卓8.0的Root提權(quán)和iOS11.1的完美越獄。

其研究主要聚焦于移動安全領(lǐng)域，包括對iOS和Android系統(tǒng)安全的攻擊和防御技術(shù)研究。目前實驗室擁有10余名研究人員，主要成員在移動系統(tǒng)攻防方面有多年的研究經(jīng)驗，并在過去的兩年時間內(nèi)共計上報了96個安全漏洞，獲得了Apple、Google以及華為等多個廠商的致謝。

事實上阿里安全對于移動安全領(lǐng)域的關(guān)注在兩年前就已經(jīng)開始。經(jīng)過兩年的積累，潘多拉實驗室已經(jīng)有了足夠的能力來研究和應對相關(guān)的安全問題。知道如何從攻擊的視角去發(fā)現(xiàn)漏洞，才能建立更安全的體系，促進了整個生態(tài)的良性發(fā)展。

而為了應對移動安全領(lǐng)域的研究，潘多拉實驗室從阿里安全內(nèi)部抽調(diào)了10幾位精英加入這一團隊，同時，潘多拉實驗室會從攻擊者這樣一個視角去提高整個移動生態(tài)的安全水準。

此次完美越獄iOS 11.2.1 系統(tǒng)，不僅僅是發(fā)現(xiàn)漏洞，還會通過研究系統(tǒng)的安全機制，最后把發(fā)現(xiàn)的漏洞利用起來。“所以通俗地說，不管是iOS的越獄，還是安卓的root，在這個過程中我們的研究人員會沉淀下來對整個系統(tǒng)的比較深入的理解，這是我們期望能夠達到的，能夠有足夠的技術(shù)積累從系統(tǒng)的層面去看待現(xiàn)在的安全問題。”阿里安全潘多拉實驗室負責人宋楊對環(huán)球網(wǎng)科技表示。

雖然這種對于安全的理解不會立刻演變成為安全解決方案，但通過這種對系統(tǒng)的深入理解，足夠支撐相關(guān)的業(yè)務走的更快更好。

安全其實是一個很復雜的體系，不單單是系統(tǒng)安全、移動安全，更是一個整體的鏈路。而潘多拉實驗室的存在，則是從移動安全角度，為整體阿里安全的相關(guān)業(yè)務提供支持，完整整體的安全解決方案。宋楊認為，發(fā)布工具不是他們的目的，他們的初衷還是檢測蘋果系統(tǒng)是否“足夠安全”，從攻擊視角提升移動生態(tài)安全的水位。

而作為阿里安全潘多拉實驗室負責人，宋楊對于選人有著自己的理解：“首先在移動安全領(lǐng)域要有一定的研究，有相應的技術(shù)能力很重要，另外需要對技術(shù)的研究有一定的熱情，做這類工作往往是孤獨而寂寞的，如果沒有這種持續(xù)的熱情很難做下去，而更為重要的，還是要與我們團隊的整體氣質(zhì)相符合，也就是常說的‘臭味相投’。”

對于潘多拉這個名字，一方面是借鑒了電影《阿凡達》中的潘多拉星球，另一方面則是借鑒了潘多拉盒子。“我們覺得其實不管是把它當作盒子也好，還是作為星球也罷，都是希望這個實驗室是以一個守護者的角色去看待安全方面的一些挑戰(zhàn)。這也是我們起這個名字的緣由吧。”宋楊解釋道。

目前，潘多拉實驗室已經(jīng)與華為等手機廠商進行了溝通，對外通過攻擊的視角來提供整個移動安全生態(tài)的安全水準，而對內(nèi)則側(cè)重于一些服務支持。

未來，實驗室還會繼續(xù)做越獄方面的難題攻克，同時還會重點關(guān)注移動系統(tǒng)的安全及瀏覽器方面的安全問題。