导语:“dev-fused”版iPhone到底有多神奇?一句话,黑客和安全专家可以使用它绕过绕过苹果最严苛的安全策略和诸多安全功能,发现iPhone漏洞和其他敏感信息,甚至直接用它来研究苹果设备中最敏感的源代码。
“dev-fused”版iPhone是个什么东东?
“dev-fused”版iPhone到底有多神奇?一句话,黑客和安全专家可以使用它绕过绕过苹果最严苛的安全策略和诸多安全功能,发现iPhone漏洞和其他敏感信息,甚至直接用它来研究苹果设备中最敏感的源代码。
我相信目前除了安全专家和黑客外,很少有人听说过“dev-fused”版iPhone,目前在黑市上它可以被卖出数千美元。除了它能用于查找影响iPhone现有版本的漏洞外,还因为它们仅限于在苹果公司内部使用,不准外流。目前,“dev-fused”版iPhone可以说是世界上最好的iOS黑客工具之一。
安全研究员Mathew Solnik非常擅长于发现iPhone的漏洞,早在2017年他的团队就破解了iPhone的Secure Enclave Processor(SEP),Secure Enclave是苹果在iPhone和iPad上用来保护用户数据安全的机制。
最近Solnik的团队又曝光了“dev-fused”版iPhone,它是为Apple内部使用而专门开发的,用于提取和研究敏感的SEP软件。准确地说,“dev-fused”版iPhone应该是一种“准越狱设备(pre-jailbroken devices)”。在安全研究行业,由于“dev-fused”版iPhone尚未走出实验室进入大众市场,有时它被称为源机型或母机型,这意味着目前市场上可见的机型都是由它衍生而来的。
“dev-fused”版iPhone具有许多在我们看来被禁用的安全功能,利用该性能可以发现未知的iPhone漏洞。如果该设备被黑客得到,那使用新发现的漏洞,数亿普通iPhone用户可能全要遭殃。
在Motherboard长达数月的调查期间,他们向业内安全人员,现任和前任苹果公司员工,甚至黑客都了解了相关情况。在实际的测试中,他们还使用“dev-fused”版iPhone获得了另外一个iPhone 的“root”访问权限,几乎可以完全控制该手机。另外获得root权限允许测试人员探测手机中许多非常重要的流程和组件。使用“dev-fused”版iPhone获取root权限是一个非常简单的过程,登录名是“root”,默认密码是“alpine”。
根据Motherboard的了解,这些设备除了在苹果内部被使用外,还被一些知名度较高的公司和独立专家用于研究和破解iOS,以发现有价值的漏洞,而这些漏洞可能会被政府和执法机构利用。
点此就可以看到启动一个“dev-fused”版iPhone的画面,仔细看可以发现“dev-fused”版iPhone还配套使用一款名为苹果专有名为Kanzi的电线,这根电线售价高达2000美元。可以看到“dev-fused”版iPhone的外观和普通版iPhone相同,但是开机后就会发现很大的差异,甚至可以短暂的看到命令行终端。
众所周知,iPhone难以入侵的一个原因是人们几乎不可能研究SEP和其他关键组件的工作方式。由于SEP操作系统是加密的,理论上无法从常规iPhone中提取或逆向工程。但是,“dev-fused”版iPhone就可以轻而易举化解这些问题。
根据Motherboard的推测,Solnik的团队可能是第一批破解SEP的人,但由于“dev-fused”版iPhone在黑市的流通,其他人也做到了这一点。 Lisa Braun,一位独立iOS研究员,最近他声称自己破解了iPad Air 2中的SEP。
以上就是一些牛人所收藏的“dev-fused”版iPhone,有可靠的消息称,以色列移动取证企业Cellebrite已经购买并使用了该设备。
在实际调查中,Motherboard发现Corellium中也很可能使用了该设备,不过Corellium的联合创始人克里斯韦德(Chris Wade)对此予以否认。Corellium是一款经过多年研发的iOS虚拟机(模拟器)。它可以启动虚拟的iPhone和iPad,以及其所运行的所有版本的iOS操作系统。通过Corellium,黑客、安全研究员、软件开发和测试人员可以在设备上尝试他们想要的任何东西,无论是寻找安全漏洞还是只是在不同的Apple硬件和软件上测试他们的应用程序。它可以暂停,创建快照和回滚,还可进行lldb对app或者iOS内核进行调试。
目前苹果还没有向公众提供解密的内核,分析内核是破解iPhone的关键一步,也是理解iOS工作原理的关键一步,而“dev-fused”版iPhone正是这样一种完美的设备。
可以通过哪些途径得到“dev-fused”版iPhone?
以上我讲了Motherboard对许多拥有“dev-fused”版iPhone的黑客和安全人员进行了调查,不过担心苹果会对他们进行追查,所以在调查的过程中,他们或者使用了假名或者只接受在线访谈,或者干脆对这件事缄口不言。世界上最知名的iOS安全研究人员之一Luca Todesco向Motherboard透露:
如果你是攻击者,要么进行暴力破解要么花费数千美元买这样一台iPhone,而不少人都选择了第二种。
另外黑客社区的其他研究人员告诉Motherboard,
尽管价格很昂贵,但“dev-fused”版iPhone仍然很抢手,且使用越来越普及了。
那问题来了,从哪里能买到他们呢?Motherboard经过一番搜寻在一个名为“Apple Internal Store”的推特账户下,发现有人售卖该设备。经过了解,其中一种“dev-fused”版iPhone售价1800美元。卖方还表示,已经有几位安全研究人员购买了此设备。
经过一番周折,Motherboard的调查人员终于拿到了“dev-fused”版iPhone,乍看起来它和普通的iPhone没有什么区别。但翻过来再看,背面会有一个QR码贴纸,而且还有一个“FOXCONN(富士康)”的贴纸。经过仔细调查,Motherboard发现这些设备中的大多是从富士康这样的加工厂走私出来的。 Apple显然非常清楚这些问题,苹果公司已经加大力度以防止这些设备被走私出去。
在加载完成之后,“dev-fused”版iPhone不会显示像普通iOS那样的图标和丰富多彩的背景。此时手机会进入一个称为“Switchboard”的操作系统,该操作系统的操作背景是黑色,以方便测试手机上的不同功能。主屏幕上布满了应用程序的图标,这些应用程序的名称包括MMI,Reliability,sequfier和Console,Console是一款允许你在iPhone内部打开命令行终端的应用程序。
不过在这种专业的系统中,因为应用程序是通过命令行终端连接到计算机上使用的,对它们进程测试是很痛苦的。大多数“dev-fused”版iPhone都无法通过点击或滑动来关闭,这意味着需要关闭并重新打开才能返回主屏幕。 对应用程序的测试表明,“Reliability”应用程序会允许你测试手机的摄像头、扬声器,麦克风,电池和环境光传感器等功能,以及其他功能。一款名为“Ness”的应用程序以任天堂游戏《Earthbound》中的主角来命名,虽然调查人员推测它可以用来测试手机的温度,当我尝试启动它时,手机自动关闭了。
除了普通的“dev-fused”版iPhone外,还有一些版本需要安装在看起来很笨重的金属台架上,才可以工作。如果感兴趣你还可以检查该手机的内部,比如查看电池、主板和其他内部部件。我看到的一个有外部电线通过支架连接到设备内部,而支架平台本身就有类似RF连接器的端口连接到这些电线,以及外部的音量和电源按钮。
另外,Twitter账户为Jin Store的买家与Motherboard分享了他们的价格目录。“dev-fused”版的iPhone 8 Plus售价5000美元,“dev-fused”版的iPhone XR售价20000美元,“dev-fused”版老版iPhone 6售价1300美元。
虽然可以从各种渠道购买到“dev-fused”版iPhone,但目前它们的供应量不是很大。在苹果和安全研究行业之外,这些设备几乎是不为大家所知。
最近苹果的安全主管Ivan Krstić也在Black Hat发表了讲话,他在演讲中简单地提了一下“dev-fused”版iPhone。据我们所知,这是苹果公开承认其存在的唯一证据。
2017年,Motherboard曾报道称,即使苹果公司承诺提供六位数的奖励,全球最好的iPhone黑客也不想向苹果报告漏洞。因为研究人员抱怨,在其他漏洞被及时修复的情况下,发现一个关联漏洞是非常困难的。换句话说,安全研究人员需要iOS漏洞,那些允许他们越狱设备并禁用安全功能的漏洞,这只是为了能够方便他们的研究。如果独立研究人员向Apple报告了漏洞,就会引导Apple关闭他们依赖的研究途径。
不过现在有了“dev-fused”版iPhone,开发人员就再也不用担心这个问题了,有了漏洞可以及时向苹果反应,利用“dev-fused”版iPhone可以将所有安全机制打开。
