半個多月前的WWDC2018蘋果開發者大會上,iOS12Beta版正式亮相;三天前的凌晨,蘋果推送了iOS11.4最新版本的更新。
就在今天上午的Mosec移動安全技術峰會上,360Vulcan團隊現場演示了同時越獄iOS11和12Beta版的全過程。同時,他們還首次披露了用于贏得Moblie Pwn2Own2017多個項目冠軍的蘋果移動瀏覽器Safari的漏洞。
Pwn2Own冠軍團隊亮相!首次公開破解iPhone的漏洞神器
在名為《手機瀏覽器中的遠程代碼執行——Mobile Pwn2Own實例分享》的議題中,360Vulcan團隊成員首次公開介紹了Pwn2Own上用于攻破多個項目的Safari漏洞。
這個漏洞威力有多大?時間切換到2017年11月2日下午,在第六屆移動Pwn2Own黑客大會上,360安全戰隊連續兩次攻破iPhone7,以零失敗戰績完美收獲多個項目冠軍。在利用Safari漏洞破解iPhone時,他們用Safari瀏覽器訪問一個預先設置好的網頁,進而直接實現了遠程控制手機,并獲得手機的短信、照片等任意信息。
能夠攻破蘋果的封閉系統,其漏洞價值自然不容小覷。目前,漏洞軍火商Zerodium發布的漏洞“牌價”上,Safari的價值飆到了15萬美元。在完成對iPhone的破解后,360安全團隊立刻將漏洞細節報告給蘋果官方,如今該漏洞已經得到修復。
Mosec最吸睛彩蛋:一套漏洞同時越獄iOS11/12最新版
兩臺iPhone手機,一部配置iOS11最新正式版,一部是iOS12開發者預覽版,打開Safari瀏覽器,訪問帶有360Vulcan標志性紅色Logo的網頁后,不到60秒,兩臺手機上分別成功裝上了一個可被任意控制的app,這標志著獲得了系統的最高權限,越獄完美實現。
360Vulcan團隊成員古河表示,“我們是利用一套漏洞同時攻破iOS最新的正式版本和開發者版本,作為最新的iOS系統,iOS12的安全性雖然有了很大的提升,但世界上沒有無法攻破的系統,我們的演示也在幫助蘋果不斷完善其操作系統的安全性”。
據了解,這套漏洞是360Vulcan團隊最新研究成果,尚未進行公開,其中使用的漏洞也將提交給蘋果官方進行修復。
MOSEC 移動安全技術峰會致力于分享移動安全領域前沿性的技術議題及發展趨勢,覆蓋iOS、Android、Windows三大移動平臺。MOSEC移動安全技術峰會始辦于2015年,至今已成功舉辦三屆。來自全球的優秀互聯網安全專家以及眾多神秘重量級演講嘉賓于6月22日聚首上海,向世界分享最新安全研究成果。
