天价难求的iOS漏洞,以及苹果和黑客的相爱相杀

 

FBI天价求黑客,帮助破解iPhone

 

2015年冬天,美国加州发生一起震惊全国的恐怖袭击案,一对夫妻在一场圣诞预热party上,持枪击杀14人重伤22人,然后在与警察的追捕过程中被枪击,导致后续调查难以展开。

 

 

最有价值的线索之一,是嫌犯的一部iPhone手机。但是大家知道,如果iPhone开机密码输错一定次数,那么储存的所有数据都会立刻被销毁。于是FBI要求苹果提供技术援助,帮助获取手机中的信息。苹果一如既往的表示拒绝,坚持不肯透露用户数据和隐私;哪怕FBI起诉到法院,也丝毫不退步,情况就这么僵持了。

 

最后,无奈的FBI花了大价钱求助于职业黑客,终于破解了嫌犯手机。在此过程中,FBI对外界高度好奇的问题,包括黑客利用了iOS系统哪些漏洞,黑客的身份和请人的价格都一概保密。直到今年五月份,参议院才透露,FBI支付了90万美元给黑客,只为破解一台iPhone。

 

苹果和黑客社区的恩怨起源

 

众所周知,苹果的iOS操作系统,是全世界范围内最安全最牢固的操作系统(之一)。这得益于它的闭源性,系统不对外授权使用,并且代码封闭。外人很难了解,iOS内部是如何井井有条地运行的,更别提发现它的漏洞所在。

 

相较于安卓系统时不时爆出的病毒感染新闻,苹果就一直以安全稳定著称。想必大家在选购手机时如果表示出对安全性的看重,那么别人总会推荐你首选iPhone。

 

但是事实上,iOS系统自诞生起,就伴随着和黑客团体的相爱相杀。我们甚至可以说:没有黑客,就没有今天稳如磐石的iOS系统和最受欢迎的iPhone系列手机。

 

 

早在iOS刚推出的2007年,网上就出现了第一份手把手教你越狱的公开教程。当时的iPhone手机广为人诟病的,就是缺乏应用,比如无法设置背景图;甚至连200块老人机内置的“贪吃蛇”游戏都没有;那时彩铃业务早已让各大通信商和唱片公司赚了个盆满钵满,但是iPhone手机——根本没办法自定义手机铃声。

 

这让一大批手机玩家没法容忍,决意要给手机“越狱”,重获“自由”。题外话,记得iPhone4刚出的时候,国内街边大小手机店都打出过类似横幅:iPhone4越狱50元,保证不会变板砖!

 

“盗版”苹果商城,发展的如火如荼

 

越狱,就是要利用系统的一个或多个bug,来禁用一个被称作“代码签名执行”(code-signing enforcement)的安全机制。在此基础上,黑客就可以运行没有被苹果公司签名的批准的外来代码;然后安装未经Apple批准的应用程序,并对操作系统进行更改和调整。

 

在第一代iPhone发行后,“越狱”曾是风靡一时的文化现象。举几个例子:当时比较有名的黑客家族就有葬爱冷少(划掉)、iPhone Dev Team、Chronic Dev和evad3rs等好几个;然后有一个免费的公开网站jailbreakme.com,只要用手机登录就能一键越狱。

 

 

最牛B的是,有个软件工程师建起了Cydia这个应用商店(Cydia比真正的苹果商城出现的更早),给黑客和开发商们带来了滚滚财源;也让iOS用户们不受限制地下载任何应用。美国有数百万人选择给iPhone越狱,就为了使用Cydia商城。

 

 

苹果公司对这些行为早有耳闻,并且非常不高兴,因为他们不希望任何第三方应用可以绕过App Store而进入自家移动设备。乔布斯曾将双方间的斗争称作“猫鼠游戏”。2009年时,苹果第一次发布针对越狱的公开声明,称此举违法。不过,它并没有真的对任何一名越狱者采取法律行动。双方的关系似友似敌。

 

 

 

2011年,Cydia这个“冒牌”应用商店已经有450万的周活跃用户;但是它的年收入只有25万美元。同时大部分黑客组织都是靠捐款和成员从事其它工作而维持运营,生存境况并不乐观。与此形成鲜明对比的是,官方的App Store越做越好了,上架的应用越来越齐全,苹果的闭环生态系统趋于完善。并且随着iOS版本更新,严重bug出现的几率越来越小,想要跟几年前那样黑进系统已经非常不易。

 

苹果“招安”黑客

 

与此同时,苹果公司时不时邀请一些杰出的黑客“代表”来参加自己的官方会议WWDC,并且和负责安全的项目组成员面对面交流。公司对这些黑客成员们了如指掌,“大部分都是年轻人,手握大把时间,非常想做点什么证明自己,以获取一张毕业证书或一份好工作”。他们选择做黑客,则因为这是件有意思的事情,如果成功了会非常有成就感,能够解锁那么多高级工程师们设下的重重关卡。

 

现在,距离第一代iOS诞生刚好十年之期,当初那些声名赫赫的黑客,有相当一部分已经被苹果招致麾下。比如曾做出越狱应用Mobile Notifier的Peter Hajas就加入了苹果。而jailbreakme.com的创始人之一,天才少年Nicholas Allegra,2011年就收到了苹果递来的橄榄枝(但是入职一年后因为忘记回邮件被解雇233)。

 

 

苹果和黑客社区的相爱相杀,逐渐占了很大的上风。

 

“赏金猎人”系统推出,无人问津

 

但是2016年7月18日,iOS更新到9.3.3版本,旋即却被人公开破解越狱。苹果明白了:这世界上可能不存在捅不破的铜墙铁壁。于是过了一个月,苹果Security Engineering and Architecture组的负责人Ivan Krstic,就在著名的黑帽技术大会(Black Hat conference)上宣布了重磅消息:苹果终于推出了针对bug的赏金系统,对那些发现漏洞并汇报给苹果公司的黑客们予以奖励。

 

 

这个“赏金猎人”系统获得现场人热烈好评,因为黑客社区已经等得太久。苹果是最后一家推出这个系统的大型科技公司。在此之前,谷歌、微软、Facebook以及一大批中小公司,早就推出了类似奖励,这样做的逻辑是尽量争取和发现bug的黑客们合作,在漏洞被用于恶意目的之前将其弥补,防止出现大范围的损失。

 

但是将近一年过去,有意思的事情出现了:苹果的赏金项目无人问津,没有黑客愿意将发现的bug告知给公司。

 

为什么出现这种情况?

 

首先一个重要原因,就是这些漏洞的研究价值,导致就算大家发现了苹果的漏洞也不愿意告知公司。iOS作为一个复杂的、锁定的、安全性极高的操作系统,哪怕局外人只想对其做一番检查研究,就需要多个漏洞甚至越狱才能办到。如果黑客想持续查找出iOS漏洞,就需要对已有的进行保密,才能在先有漏洞基础上继续进行“探索”。

 

但更关键的因素是,iOS系统安全性首屈一指,能发现的重要bug寥寥无几,这导致苹果牌bug在地下市场升至天价。

 

万金难求的Bug VS 苹果的小气报价

 

下图是“赏金”系统给出的奖励价格,最高上限20万美元,只有当发现的bug属于“安全启动固件”的范畴,才有可能拿到这个数。但是,如果你真的发现这种性质的bug,拿去给别的公司,可能能卖到高达百万美元的价格。所以,黑客社区对这份报价单,可以说是不屑一顾。

 

 

比如这家叫做Zerodium的网络安全公司,就专做收购“零时漏洞”(zero-day)的生意。零时漏洞指还没有补丁的安全漏洞,很容易被恶意利用;能不能发现、以及能掌握多少零日漏洞,是评价黑客技术水平的一个重要参数。Zerodium会出比一般赏金项目高很多的价格来收购黑客们发现的零时漏洞,并且绝对保密卖家信息;公司客户则是财大气粗的大型科技金融公司,乃至政府机构。

 

Zerodium提交bug的流程

 

Zerodium的业务模式,和科技公司的“赏金”项目有直接竞争关系。黑客如果发现了重要bug,那是处于绝对的买家市场。有人做了个调查,问如果你发现了零时漏洞,是卖给报价150万刀的Zerodium呢,还是出价20万的苹果?答案可以说非常明显了。

 

 

此外,黑客们也会自己发现漏洞bug后,将其作为一门技术“做生意”,直到苹果公司修复bug为止。这门生意能源源不断生财岂不甚是美妙?并且单次的报酬也非常可观,客户可能大有来头,比如文章开头提到的联邦调查局,FBI的title就能给黑客履历增添非常光辉的一笔。

 

媒体评价说:苹果给“赏金猎人”项目中所有bug明码标价,但显然它严重低估了bug的真正价值。