厉害！几小时完美越狱iOS11.2.1 他们是这样做到的

作者：勃潺

2017-12-29

【环球网科技报道记者勃潺】12月14日，苹果正式向用户推送了iOS最新版本系统iOS11.2.1软件更新。而仅仅在几个小时之后，这一软件便被阿里巴巴旗下潘多拉实验室实现完美越狱。

对于“越狱”这样极具技术挑战性的工作，不仅仅是和时间的赛跑，也是技术人员对于自身的挑战。几个小时的时间，他们是如何成功越狱iOS 11.2.1的？

几小时：没有捷径只有长期积累

在继IOS11.2版本发布后，苹果发布了IOS 11.2.1更新版本，这个版本是在IOS 11.2的基础上面修复了之前被爆出的HomeKit漏洞，据了解，攻击者可以利用这个安全漏洞轻松控制那些支持HomeKit的设备，甚至是家中的智能门锁。

然而仅仅在几个小时之后，iOS 11.2.1 系统又被成功越狱，这也意味着iOS 11.2.1 系统仍然存在安全漏洞。阿里安全潘多拉实验室研究人员、iOS 11.2.1越狱主要研究人员龙磊表示，iOS 11.1 包含有存在缺陷的、可以被绕过的SMAP 机制。苹果在iOS 11.2 中修复了这个漏洞，迫使研究人员寻找其他绕过SMAP 的方法。此外，龙磊曾向苹果报告7 处安全缺陷。

此外，在老的iOS版本中，安全研究人员还可以通过mach_zone_force_gc接口来触发内核GC，否则就只能填充同类型的数据。但在iOS 11中苹果禁用了mach_zone_force_gc接口，所以就需要新的触发内核GC的方式。

同时，与“非完美越狱”不同，“完美越狱”具有技术含金量，在重启手机后，还能自动执行越狱代码，在重启前完成越狱。

“越狱是一件非常具有技术挑战性的工作，也是每个iOS安全研究者都想去攀登的一个高峰。”龙磊兴奋的说道。

事实上，在此次完美越狱的背后，是长时间的经验积累和默默研究。据龙磊介绍，阿里安全部门从2014年年底开始便已经关注越狱方面的相关内容。一开始比较顺利，安全人员重点关注在通用漏洞挖掘工具上，却忽略了对苹果安全机制本身的研究，而这却是最为重要的。

直到2016年出现了转机。在新同事的加入下，团队开始采用一些新的思路和办法来做越狱。“除了这种用漏洞挖掘工具以外，开始去对这个操作系统进行一些比较深入的研究。在这种新的思路和方式的帮助下，我们比较快的完成了第一次越狱。”龙磊回忆到。

随后的2016年整个团队就在找到漏洞、完成越狱和被苹果修复，这三种状态之间来回切换。

进入2017年，随着研究的深入和经验积累，可以实现快速的应对苹果安全升级，并且有一定的预判能力。龙磊感叹道：“其实并没有快捷的路径去快速发现漏洞并完成越狱，背后是一个长期积累的过程。”

据介绍，iOS系统的每一次升级都有可能引入新的安全缓解技术，修补一些未经公开的漏洞，这会加大漏洞利用的难度，所以每一次升级都会给安全研究人员提出新的挑战。为了能够在最短时间内完成对最新版本的越狱工作，安全研究人员不仅要能挖掘出可以独立提权的漏洞，还要有不一样的思路，以免手上的漏洞和其他人撞车，或者是被Apple意外补上。

不仅仅是越狱：从系统的层面看待安全问题

阿里安全潘多拉实验室组建于2017年，此前仅在阿里先知创新大会上露过一次面，安全研究员用视频演示了安卓8.0的Root提权和iOS11.1的完美越狱。

其研究主要聚焦于移动安全领域，包括对iOS和Android系统安全的攻击和防御技术研究。目前实验室拥有10余名研究人员，主要成员在移动系统攻防方面有多年的研究经验，并在过去的两年时间内共计上报了96个安全漏洞，获得了Apple、Google以及华为等多个厂商的致谢。

事实上阿里安全对于移动安全领域的关注在两年前就已经开始。经过两年的积累，潘多拉实验室已经有了足够的能力来研究和应对相关的安全问题。知道如何从攻击的视角去发现漏洞，才能建立更安全的体系，促进了整个生态的良性发展。

而为了应对移动安全领域的研究，潘多拉实验室从阿里安全内部抽调了10几位精英加入这一团队，同时，潘多拉实验室会从攻击者这样一个视角去提高整个移动生态的安全水准。

此次完美越狱iOS 11.2.1 系统，不仅仅是发现漏洞，还会通过研究系统的安全机制，最后把发现的漏洞利用起来。“所以通俗地说，不管是iOS的越狱，还是安卓的root，在这个过程中我们的研究人员会沉淀下来对整个系统的比较深入的理解，这是我们期望能够达到的，能够有足够的技术积累从系统的层面去看待现在的安全问题。”阿里安全潘多拉实验室负责人宋杨对环球网科技表示。

虽然这种对于安全的理解不会立刻演变成为安全解决方案，但通过这种对系统的深入理解，足够支撑相关的业务走的更快更好。

安全其实是一个很复杂的体系，不单单是系统安全、移动安全，更是一个整体的链路。而潘多拉实验室的存在，则是从移动安全角度，为整体阿里安全的相关业务提供支持，完整整体的安全解决方案。宋杨认为，发布工具不是他们的目的，他们的初衷还是检测苹果系统是否“足够安全”，从攻击视角提升移动生态安全的水位。

而作为阿里安全潘多拉实验室负责人，宋杨对于选人有着自己的理解：“首先在移动安全领域要有一定的研究，有相应的技术能力很重要，另外需要对技术的研究有一定的热情，做这类工作往往是孤独而寂寞的，如果没有这种持续的热情很难做下去，而更为重要的，还是要与我们团队的整体气质相符合，也就是常说的‘臭味相投’。”

对于潘多拉这个名字，一方面是借鉴了电影《阿凡达》中的潘多拉星球，另一方面则是借鉴了潘多拉盒子。“我们觉得其实不管是把它当作盒子也好，还是作为星球也罢，都是希望这个实验室是以一个守护者的角色去看待安全方面的一些挑战。这也是我们起这个名字的缘由吧。”宋杨解释道。

目前，潘多拉实验室已经与华为等手机厂商进行了沟通，对外通过攻击的视角来提供整个移动安全生态的安全水准，而对内则侧重于一些服务支持。

未来，实验室还会继续做越狱方面的难题攻克，同时还会重点关注移动系统的安全及浏览器方面的安全问题。