狗血：你的iPhone竟能換一輛瑪莎拉蒂？！

nage999

買不起瑪莎拉蒂，最次也要被瑪莎拉蒂撞死。
這個無厘頭的願望，仔細想想竟然好有道理——那些搶著上王思聰的節目，被“老公”花式鞭撻的網紅們，臉上都浮現出享受的神情。
好，作為一個嚴肅的媒體，雷鋒網宅客頻道告訴你：其實，每個人，都有，被瑪莎拉蒂撞死的機會。
因為在你的iPhone上，曾經存在過一個“瑪莎拉蒂”般的神級漏洞——三叉戟。
為什麼用瑪莎拉蒂來比喻三叉戟？他們有三個共同點：
1、瑪莎拉蒂價值百萬人民幣，三叉戟漏洞同樣價值百萬，美元。
2、有幸被三叉戟漏洞或瑪莎拉蒂“碾壓”的人，都是祖墳冒青煙的大咖。
3、我回車庫看了一下，其實瑪莎拉蒂的標志就是三叉戟。

想想，你的iPhone上曾經有一套可以換來瑪莎拉蒂的漏洞，而你卻苦逼地每天搬磚。天啊，即將過去的2016就是這麼瘋狂。
年關歲末，我們來聊聊三叉戟漏洞的狗血故事吧。
公公叫完婆婆叫，累覺不愛的iOS工程師
故事還是從盤古說起吧。不是盤古開天，是越獄大神盤古。
2016年7月，蘋果正在哼著小曲準備一個多月後iPhone 7和iOS 10的重磅發佈。iOS9的版本此時完美收官在看上去很吉利的iOS 9.3.3上。
歲月靜好。
24號，周日的午後，盤古團隊靜靜地在網上掛出了越獄工具，通吃iOS 9.2-9.3.3。

腦補一下：大洋彼岸，蘋果的工程師。

十多天之後，iOS 9.3.4推送，蘋果咬著牙告訴所有的用戶：強烈建議升級，否則要粗大事！
這個工程師奮戰了無數個晝夜寫出的打死不改版的iOS 9.3.4，看來隻做了一件事，就是修復盤古越獄使用的漏洞。
雙眼通紅的工程師，以為自己終於可以睡個好覺，靜待iOS 10了。
然而結果是，過了十天之後，蘋果又雙叒推出了iOS 9.3.5。。。鬼知道在這十天裡工程師們經歷了什麼。
這十天裡，發生了另一個精彩絕倫的故事。
民權鬥士生擒“瑪莎拉蒂”
這個故事雷鋒網宅客頻道（微信搜索：宅客頻道）要從阿聯酋人權鬥士曼蘇爾——曼大爺說起。
曼大爺有一臺iPhone 6。一天，他突然收到兩條短信，對方寫道：“我手裡有些“猛料”，阿聯酋監獄存在虐囚事件！詳細鏈接附在後面。”
然後，是一串短鏈接。

曼大爺收到的信息
你以為曼大爺會焦急地點擊查看嗎？圖樣。
實際上，曼大爺可不是軟柿子，他就像阿聯酋的唐僧，每天被各路妖孽惦記。被算計是他的日常，在過去的日子裡，他曾經數次收到過釣魚鏈接攻擊。所以，這次他想都沒想，就把短信轉給了好基友：加拿大公民實驗室(Citizen Lab)的研究人員。
沒錯，這一串鏈接，正是用來攻擊曼大爺的。隻是，所有的安全研究員都沒想到，這個攻擊所利用的漏洞，竟然是如此勁爆。
簡單說吧，你隻要點擊了這個鏈接，你的手機就對黑客透明了。對方甚至能透過手機，聞到你的呼吸。
公民實驗室和合作夥伴美國網絡安全公司Lookout Security驚出了一身冷汗。因為這組漏洞在理論上來說，可以用來控制全世界的iPhone。
曼大爺無心插柳，不小心發現了iPhone史上最大的漏洞，從黑市的價格來看，至少值幾百萬美元，足夠買五臺瑪莎拉蒂。
安全研究員決定把這個勁爆的消息告訴蘋果，這就是iOS 9.3.5的來由。這組漏洞被命名為三叉戟。
一邊是傲嬌的曼大爺，另一邊是哭暈在廁所的黑客。

曼大爺（曼蘇爾）和試圖搞他的組織們
NSO
這套漏洞的主人是以色列網絡軍火商NSO Group，說它是以色列的公司並不準確，雖然NSO運營在以色列，但位於舊金山的私募股本公司Francisco Partners在2014年以1.2億美元的價格收購了NSO大部分的股權。
在LinkedIn上，可以找到這家公司的一些信息。資料顯示這是一家“互聯網安全軟件解決方案和安全研究領域的獨特公司”、“公司主要負責移動和PC環境中的一些獨特軟件的開發”以及“公司還專攻移動和PC控制環境下一些搶手解決方案”。
看起來都是些廢話，不過在資料裡公司的“專攻項目”還是泄露了天機：互聯網安全、移動安全、網絡威脅以及滲透測試等。
簡單說來，NSO就是開發高科技間諜工具的公司。
對於玩“入侵”的公司，漏洞就是他們的“核心科技”。而這組可以用一條鏈接來控制iPhone的漏洞，無疑是漏洞中的皇冠。對於NSO來說，這不僅是一組可以制造間諜工具的漏洞，而是他們江湖地位的基石。
腦補一下NSO老板叼著煙卷和某國官員談生意的場景。“我們手裡的漏洞，可以讓全國的iPhone都在你的掌控中，想偷聽誰說話就偷聽誰說話，想打開誰的攝像頭就能打開誰的攝像頭！沒事還能看美女自拍下載10G資源神馬的，順著這條街你出去問問，誰還能辦到？”

電影《1984》中，老大哥無時無刻不在看著你
iOS9.3.5，讓NSO一夜夢碎。用瑪莎拉蒂撞人，不但沒成功，車還被罰沒了。
這個漏洞究竟有多吊？
雖然看了這麼多，但你可能還沒get到三叉戟漏洞的逆天之處。
關鍵詞是：“遠程攻擊”。
雷鋒網宅客頻道（微信搜索宅客頻道）先來科普一下。對於iPhone來說，越獄和攻擊在原理上是一碼事，都是利用漏洞破壞掉iOS的安全機制。隻不過，越獄之後，iOS的掌控權在機主手裡；而被攻擊之後，iOS的掌控權在黑客手裡。
如此說來，凡是玩過越獄的童鞋，其實都對自己的手機發起過“攻擊”。你可能記得，無論是用盤古還是太極的越獄工具，都需要把手機連接到電腦上。這是因為，隨著幾年的發展迭代，iOS的安全機制已經非常健全，雖然越獄大牛們可以做到利用漏洞幹掉iOS的防禦系統，但是這種攻擊隻能在本地發起。簡單說來，攻擊者必須能夠接觸到被攻擊手機，還要有充足的時間連接到電腦上運行越獄程序。
這其實不太酷。在我們的想象中，真正的攻擊應該是羽扇綸巾的黑客輕輕點擊鼠標，千裡之外檣櫓灰飛煙滅。
在三叉戟漏洞爆出之後，360涅槃團隊的高雪峰告訴雷鋒網(公眾號：雷鋒網)宅客頻道：
iOS在每一次大版本的升級中，幾乎都會加入一個非常有力的安全防護機制，如今五年過去，遠程越獄iOS的難度成幾何數級增長，尤其是iOS7之後，這種級別的漏洞幾乎絕跡，所以遠程越獄的難度根本不能同日而語。
意大利小子luca曾經放出過一段視頻，是通過safari越獄iOS9.3.2，但是在市面上是沒有的。
至於上一次有人公開發佈遠程越獄iOS工具，還是在五年以前。
高雪峰說：
在iOS的早期，遠程越獄是曾經實現過的，但是上一次有黑客團隊實現對iOS的遠程越獄，還是iOS4.3.3時代。黑客comex發佈的遠程越獄工具，在Safari瀏覽器訪問http://www.jailbreakme.com即可越獄。
所以，在三叉戟之前，遠程攻擊iOS9.X，是一個江湖傳說。“主流黑客”們或多或少相信這種漏洞的存在，但是從未有人親眼見過這個“神器”。世界著名漏洞軍火商Zerodium曾經懸賞100萬美金收購遠程攻擊iPhone的漏洞，據說有黑客真的成功賣給了他們。這也證明了世界上確實還存在這樣逆天的漏洞。
NSO聯合創始人Omri Lavie曾經接受軍事貿易國防新聞刊物的采訪，他說：
我們完全像是幽靈，對於攻擊目標來說，我們是完全透明的，不會留下任何痕跡。
在黑客眼裡，這真是一句完美的贊嘆。
老司機解剖“三叉戟”
先科普一下，iOS的安全級別大致分為應用層、系統層和內核層（層級越高，權限越大）。而如果想要越獄一部iPhone，實際上是拿到內核權限。這需要逐層突破層層守衛，所以越獄往往需要幾個漏洞層層配合才能實現。
實際上，三叉戟漏洞由三個漏洞組成。（不然為什麼要叫三叉戟呢？）
漏洞1：遠程突破iOS的Safari瀏覽器漏洞；
漏洞2：使內核信息泄露的漏洞；
漏洞3：用於在內核中執行任意代碼的漏洞。

【蘋果在iOS9.3.5升級中給出的三叉戟漏洞詳情】
盤古的越獄大神們在第一時間解剖了“三叉戟”，核心成員DM（陳曉波）為我們還原了這種“遠程越獄”的全過程：
1、攻擊者首先通過SMS短信把一個鏈接發送給目標任務，當目標任務點擊鏈接之後，會訪問攻擊者的一個網站。
2、攻擊者的網站上會放置一個針對Mobile Safari的攻擊程序，這個程序中，包含了Mobile SafariJavascript引擎的一個0day漏洞。
3、攻擊程序被執行之後，攻擊者會通過瀏覽器獲得手機的執行權限。此時攻擊者的權限還隻是被囚禁在沙盒之內。
4、接下來，攻擊者通過兩個內核漏洞（一個內核信息泄露漏洞一個內核代碼執行漏洞）獲得內核執行權限。
5、獲得內核執行權限後，攻擊者就完成了手機越獄。這時他會關閉一些iOS的安全保護機制，比如開啟rootfs的讀寫，關閉代碼簽名等等。
6、完成攻擊之後，入侵者就成為了手機的“主人”，可以實現對手機通信、流量的全面監聽。
講真，這組漏洞之完美，讓DM也難掩贊嘆：
這個JavaScript漏洞是可以在系統開機的時候攻擊iOS系統。也就是說系統重啟的時候，還會走一遍攻擊流程，這有點類似之前的“完美越獄”。

iOS 9.3.5更新
從“瑪莎拉蒂”到“一汽夏利”
蘋果，用升級iOS的方式官方宣告了三叉戟的存在。
在升級提示中，蘋果寫道：
本次更新提供了重要的安全性更新，推薦所有用戶安裝。
這句簡單的描述，湮沒了所有可能無法追尋的真相。
三叉戟漏洞在“野生”環境中存在了多久？
三叉戟漏洞究竟被多少人掌握？
三叉戟漏洞曾經被哪些人使用，又對誰做了什麼？
這些問題，即使是NSO都無法準確回答。一位NSO的某前雇員在接受《福佈斯》采訪時說的話，也許能夠讓你管中窺豹：
我知道很多有關NSO產品的事，也知道它如何運作，但我沒法公佈這些消息。如果我說了，會失去很多東西。公司隻會將產品，賣給授權的政府機構，公司貿易行為完全符合出口管制法律法規。
關於這個漏洞的鋒芒，還有一些公開的事實。
2015年，巴拿馬當地媒體報道，巴拿馬政府購買NSO的間諜程序，為此給NSO支付了1060萬澳大利亞元，用以“針對移動設備信息的收集”。
毫不誇張地說，隻要你有一部iPhone，就有可能是三叉戟的受害者。而且，你可能永遠無法知道自己是否被攻擊過，或正在被攻擊。
然而，從另一個角度來說：最可怕的漏洞，往往是又是最安全的。
例如：核武器擁有最狂暴的殺傷力，但普通人死於核武器的概率，遠遠低於死於車禍的概率。
“瑪莎拉蒂級別的漏洞，不會輕易用在Diors身上。”
雖說滿滿負能量，但事實如此。
如果你不是人權鬥士，或者異見人士，很可能如空氣一樣被忽視。頂尖黑客和各國政府依靠常識和理智，讓三叉戟這個怪獸和這個世界維持著精妙的平衡。但是在蘋果推出iOS9.3.5的一瞬間，世界的格局發生了徹底的顛覆。
因為從這一刻開始，三叉戟的原理不再是秘密，幾乎一個腳本小子都可以遠程攻擊一部未升級的iPhone。至此，難得一見的“瑪莎拉蒂”變成了遍地開花的“一汽夏利”。

知乎用戶arju對於三叉戟漏洞的看法
核武器按鈕掌握在總統手裡，並不危險。當暴民沖進總統府搶到了核武器按鈕，才是末日。
那天早晨，你坐在餐桌前收到iOS9的收官之作9.3.5推送時，一定沒有想到，氤氳的咖啡霧氣背後，是一個驚心動魄的末日故事。
蘋果的“漏洞戰爭”
即使安全體系再完善，總有可以攻破的方法。
世界上絕不可能僅有一個三叉戟。
面對這個事實，蘋果可以選擇漠視，就像2016年之前他們做的那樣；蘋果也可以選擇行動，就像現在他們做的那樣。
高雪峰說，在三叉戟爆發之前幾周，在美國舉行的黑客頂級會議BlackHat上，蘋果的安全研究員剛剛預告了蘋果將要推出的，對提交iOS漏洞的獎勵機制“AppleBountyProgram”，一個iOS漏洞最高可以獲得20萬美金的獎勵。
三叉戟爆發之後，付出代價的蘋果加快了行動。這就是9月那場著名的“鴻門宴”。
蘋果低調地向全世界iOS黑客大牛發出邀請函，邀請他們到位於庫比蒂諾的蘋果總部與蘋果高層見面。有關這次會面的一切，蘋果都和黑客們簽訂了保密協議。
從泄露的受邀名單來看，這些越獄黑客都是響當當的人物，包括意大利黑客LucaTodesco、德國安全專家"樹人"StefanEsser（i0n1c）、神作JailbreakMe的作者NicholasAllegra（comex）、加拿大年輕黑客iH8sn0w、中國的盤古團隊、360涅槃團隊、騰訊科恩實驗室等。
某位參加了會面的大牛表示，這次會面雖然沒有外界猜測的那麼神秘，但是卻昭示了蘋果態度的轉變：
之前他們相對傲慢，認為自己的安全團隊很厲害，不需要你們幫我發現。而這次和我們會面主要目的是放低姿態，認可你們這些人，幫我積極發現問題，共同促進蘋果安全。
另外，這次“鴻門宴”上，蘋果還正式發佈了“AppleBountyProgram”賞金計劃，但是隻有參加了這次會面的黑客，才有資格提交漏洞獲取賞金。
蘋果第一次放下身段，對越獄大神們笑臉相迎。但可能隻有上帝才知道，這些越獄大神背在身後的手上，是不是真的握有另一個三叉戟。而那些仍舊飄蕩在法外之地的“三叉戟”們，究竟掌握在誰的手裡？
天平兩端，一邊是沉甸甸的金錢和閃光欲望。另一邊，是脆弱的良知。
2016年，這架天平傾覆了一次。

weltergf

默默的看完，安靜的回覆

底褲超人

哎 怎麼說那~~

一心

支持你一下下。。

世界沒日

今天沒事來逛逛，看了一下，感覺相當的不錯。

a_c_e06

支持你加分

lreneMOON

回覆一下，謝謝分享

tamyc002

我的idea，被樓主嫖竊了！

jennyjellyfish

熱情分享好文章，看了都要來回覆

frankyhui

長時間沒來看了 ～～