2016年8月17日，ISC2016移动安全发展分论坛在北京国家会议中心召开。盘古团队核心成员、上海犇众信息技术有限公司首席科学家王铁磊及联合创始人徐昊在此次论坛上介绍了“Pangu9 越狱揭秘”。

　　以下内容为王铁磊与徐昊报告速记整理全文：

　　王铁磊：大家好，我和徐昊都来自盘古团队，今天主要和大家分享我们在开发盘古Pangu9过程中越狱的漏洞以及相应的技术。今天的报告主要分三个部分，首先我们会分析在越狱工具中，用户用到的相关技术，徐昊会介绍内核的漏洞。特别需要提到一点是自从IOS9发布以后，启动了关于内核保护技术，内核态，大家说的KPP，徐昊会介绍KPP的环境下如何进行内核态，最后是总结。

　　简单介绍一下我们的团队，盘古团队是以发布越狱被大家所熟知的，我们研究是比较广泛的，研究安卓、车联网系统，所以基本覆盖整个移动平台。我们创建了上海犇众信息技术有限公司，这个公司在上海，希望大家以后去上海的时候，去我们公司参观。我们发布了四次越狱工具，分别是针对ISO7、8、9系列的四次越狱。因为研究方向主要在移动平台，我们在上海专门组织了一个会议，这个会议在每年的6月、7月，是一个一天的短暂技术峰会，希望大家明年有空也去参加。

　　盘古pangu9工具是针对第一代pangu9，是IOS9.0到9.1之前的分享。我再简单介绍一下越狱，实际上IOS以安全为著称，苹果花了大量的费用设计它的IOS。我们拿到一个IOS手机以后，你只具备了手机的使用权，不具有手机的管理权。因为苹果IOS没有把最核心的管理功能开放给终端用户，这也是为什么有人喜欢越狱，有人希望通过IOS的漏洞，把系统真正开放给用户，让用户对系统有更高的管理权限。比如说用户不具有ROOT账户的，但是越狱后可以做一些读写和应用，对IOS来说是一个非常重要的环境。但是越狱中间有一个非常关键的部分，一定要去做一些攻击内核。因为IOS中很多的安全强化策略是在内核中实现的，比如说强制代码签名、沙盒，以这个为目标后，我们后面在做越狱过程中一个很大的问题，就是当你有了哪些内核漏洞时，如何在用户态设计一些，使我们真正达到合理攻击的环节。

　　这其中还有一个概念，就是沙盒，IOS上面用了非常严格的沙盒策略。比如，大家从苹果商店下载的沙盒，都会用一个沙盒环境，只能有不过五六个进行通讯，在沙盒里面的非常小。如果在沙盒外整个系统是非常复杂的，如果获得沙盒外的权利，你会获得很大的权利。但是如果你要获得沙盒外进行代码执行。在很长一段时间内，大家认为IOS比较安全是因为它的沙盒环境使得很难在沙盒内直接去攻击内核，但是现在的问题是自从IOS9.1之后，很多可以在沙盒之内进行漏洞攻击。包括我们最近那款攻击，也是为什么越狱发布不到一周以后，苹果专门针对漏洞发布了一个紧急的补丁。

　　实际上如果回顾以往的越狱工具，可以很明确地看到如果一个团队持续地发布越狱工具，就能看到越狱工具一系列工具中的技术脉络。我们一直做的越狱工具，也是取决于当时掌握的内核漏洞，是在沙盒外进行的触发，我们要花很大精力获得沙盒外越狱代码的机会。为了达到这一点我们经常做一些沙盒外任意文件补写漏洞，把这个文件转化成任意代码执行的机会。

　　我们首先来看在盘古9中，我们发现的一个沙盒外任意文件补写的漏洞。去年我们在ISC上提到，重点强调了在IOS平台上有一种新的机制叫做XPC，它在地层基础上做了分装使得整个更加容易实现。我们去年已经解释了，这是一个新引入的机制，大家研究比较少，我们也分析了一些漏洞。在pangu9中我们恰好用了这个问题。这个XPC在2011年引入，当时它是作为一个亮点，在WEC上苹果也进行了宣讲，但是IOS平台现在没有开发给第三者。它使得应用和服务系统之间有一个很严格的隔离，这样它在安全性上做的好处就是它能做到权限的分离，使得应用最小权限的原理，如果这个服务不需要其他的权限就可以剥离出来，只需要赋予它所需要的权限就可以了。

　　这是一个典型的XPC服务端的代码实现。大家通常用到的API是COM、APPLE、XPC，这是一个服务的名字，另外两个API它会设置一个分发函数，在每个函数之间你可以去设置每个。这个做成API的话，如果大家没有做过相应的IOS开发可能不是很熟悉，苹果有着比较清晰的介绍，大家可以根据苹果的官方文档进一步了解一下这些API的内部使用情况。

Tags：埃及(5)沙漠地区(1)警察死亡(1)袭警事件(1)

转载请标注：信息网——上海犇众信息技术有限公司首席科学家王铁磊:Pangu9 越狱揭秘