半個多月前的WWDC2018蘋果開發(fā)者大會上,iOS12Beta版正式亮相;三天前的凌晨,蘋果推送了iOS11.4最新版本的更新。
就在今天上午的Mosec移動安全技術(shù)峰會上,360Vulcan團隊現(xiàn)場演示了同時越獄iOS11和12Beta版的全過程。同時,他們還首次披露了用于贏得Moblie Pwn2Own2017多個項目冠軍的蘋果移動瀏覽器Safari的漏洞。
Pwn2Own冠軍團隊亮相!首次公開破解iPhone的漏洞神器
在名為《手機瀏覽器中的遠程代碼執(zhí)行——Mobile Pwn2Own實例分享》的議題中,360Vulcan團隊成員首次公開介紹了Pwn2Own上用于攻破多個項目的Safari漏洞。
這個漏洞威力有多大?時間切換到2017年11月2日下午,在第六屆移動Pwn2Own黑客大會上,360安全戰(zhàn)隊連續(xù)兩次攻破iPhone7,以零失敗戰(zhàn)績完美收獲多個項目冠軍。在利用Safari漏洞破解iPhone時,他們用Safari瀏覽器訪問一個預(yù)先設(shè)置好的網(wǎng)頁,進而直接實現(xiàn)了遠程控制手機,并獲得手機的短信、照片等任意信息。
能夠攻破蘋果的封閉系統(tǒng),其漏洞價值自然不容小覷。目前,漏洞軍火商Zerodium發(fā)布的漏洞“牌價”上,Safari的價值飆到了15萬美元。在完成對iPhone的破解后,360安全團隊立刻將漏洞細節(jié)報告給蘋果官方,如今該漏洞已經(jīng)得到修復(fù)。
Mosec最吸睛彩蛋:一套漏洞同時越獄iOS11/12最新版
兩臺iPhone手機,一部配置iOS11最新正式版,一部是iOS12開發(fā)者預(yù)覽版,打開Safari瀏覽器,訪問帶有360Vulcan標志性紅色Logo的網(wǎng)頁后,不到60秒,兩臺手機上分別成功裝上了一個可被任意控制的app,這標志著獲得了系統(tǒng)的最高權(quán)限,越獄完美實現(xiàn)。
360Vulcan團隊成員古河表示,“我們是利用一套漏洞同時攻破iOS最新的正式版本和開發(fā)者版本,作為最新的iOS系統(tǒng),iOS12的安全性雖然有了很大的提升,但世界上沒有無法攻破的系統(tǒng),我們的演示也在幫助蘋果不斷完善其操作系統(tǒng)的安全性”。
據(jù)了解,這套漏洞是360Vulcan團隊最新研究成果,尚未進行公開,其中使用的漏洞也將提交給蘋果官方進行修復(fù)。
MOSEC 移動安全技術(shù)峰會致力于分享移動安全領(lǐng)域前沿性的技術(shù)議題及發(fā)展趨勢,覆蓋iOS、Android、Windows三大移動平臺。MOSEC移動安全技術(shù)峰會始辦于2015年,至今已成功舉辦三屆。來自全球的優(yōu)秀互聯(lián)網(wǎng)安全專家以及眾多神秘重量級演講嘉賓于6月22日聚首上海,向世界分享最新安全研究成果。
