中国骇客 5 秒干掉 macOS 系统,攻击方法首次全球揭晓

2020-06-15 阅读727 点赞724
中国骇客 5 秒干掉 macOS 系统,攻击方法首次全球揭晓

这件事,真实地发生在「骇客奥运会」──Pwn2Own 2016 上。做出这种华丽攻击的,正是来自腾讯科恩实验室的骇客们。令人髮指的是,他们还使用了另一种姿势,再次让 macOS 的世界失守崩溃。

正是这种震慑人心的骇客美学,帮助他们成功获得了「世界破解大师」的称号。

从今年 3 月开始,全世界都在等待这群「大师」揭晓那次神秘攻击的方法。5 个月过去了,科恩实验室的骇客们终于决定还原这次攻击的技术细节。他们选择的舞台,是骇客界的最高盛会──BlackHat USA。

中国骇客 5 秒干掉 macOS 系统,攻击方法首次全球揭晓 由左至右分别是:Gross、Flanker(何淇丹)、傅裕斌、陈良。隐密入口──关于那次攻击的惊人真相

陈良、Flanker(何淇丹)、傅裕斌、Gross,正是当时破解 macOS 的主力骇客。

他们亲口讲述的真相,几乎超出所有人的想像:两次完美的进攻,全部击溃了苹果的图形渲染系统。这种攻击方法,在世界上只出现过一次。而那一次攻击的导演,仍然是他们。

这是一个隐密的入口。

陈良告诉雷锋网,

对于这种攻击的发生,苹果也负有一定的责任。 Flanker 说,「在旧的苹果系统中,一般的应用是无权调用 GPU 和图形渲染系统的,所有的图形渲染都必须透过『窗口管家』实现;而在新的苹果系统中,为了保证用户体验的顺畅,苹果开放了普通应用调用 GPU 的权限。」

这正是一切灾难的逻辑起源。

中国骇客 5 秒干掉 macOS 系统,攻击方法首次全球揭晓 中国骇客团队展示 macOS 图形渲染系统工作逻辑示意图。畸形的数据

简单科普一下:如果一个 App 想要绘製图形,需要提供一些逻辑坐标,这些坐标透过内核驱动器传递给 GPU 绘製,进而转换成屋里坐标,出现在显示器上。

对于已经透过漏洞「绑架」Safari 的陈良一众,可以伪造 Safari 的命令,向图形绘製系统发出各种畸形的数据。

对于图像渲染系统来说,无论 Safari 的命令有多幺不可靠,他都无法「抗旨不尊」。于是,可怜的渲染系统手握小皮鞭,逼迫 GPU 画出一个「边长为负数的矩形」。于是 GPU 方了,它的世界崩溃了,各种没头没脑的数据被写进记忆体,骇客的嘴角露出一丝笑容。

然而,这还远远不够。

中国骇客 5 秒干掉 macOS 系统,攻击方法首次全球揭晓 记忆体溢出示意图。精心构建的数据陷阱

让系统完全崩溃显然不是骇客的目的,他们的目的是精準地控制这种崩溃──让 GPU 的「哀号」组成一段「动人的交响曲」。

为了达到这个目的,他们面对「3 座大山」。

    他们要利用这个微小的创口,用手术刀精準地在记忆体里排列出他们想要的代码。即使这幺艰难,但苹果的代码还是「闭源」的,他们必须透过逆向工程「猜」出苹果的代码逻辑。雪上加霜的是,封闭的苹果系统在安全防护上之决绝远超过 Windows。

事实上:他们每一个微小的动作,都会造成大面积的影响。

举例来说,

总之,这件事情,比你想像的更难。

中国骇客 5 秒干掉 macOS 系统,攻击方法首次全球揭晓 现场展示对 macOS 的破解过程。

Flanker 告诉雷锋网:

从技术上来说,他们需要找到一片稳定的记忆体,然后在极其短暂的时间内,把自己精心构建的代码铺进去。就像在飞驰的列车旁,精準地跳上一个指定的车门。然而,上帝在大多数时候并不那幺给力。

Flanker 这样解释。

以上的技术路径,是两套破解方案中较为複杂的一套,被他们称为「内核态漏洞方案」,而另一套「用户态漏洞方案」虽然理论相近,但利用方案相对简洁。

中国骇客 5 秒干掉 macOS 系统,攻击方法首次全球揭晓 现场展示影片中,攻击者获得系统最高权限。永不消逝的噪音 vs. 永不磨灭的骇客精神

正如前文所言,这种破解相当于「在飞驰的列车旁,精準地跳上一个指定的车门」。然而,Flanker 和傅裕斌告诉雷锋网一个残酷的事实:存在一定的可能性,当你準确地跳向车门时,车门却是关闭的。

这种在电影《全面启动》最底层将入侵者扼杀掉的力量,仍然是来自记忆体的「永不消逝的噪音」。 Flanker 说,「用户态漏洞方案」有 15% 至 20% 的失败机率,而「内核态漏洞方案」虽然失败机率极低,但是仍然难保 100% 成功率。

这些来自赛博实际的的噪声,是他们尽了最大的努力,仍然不能控制的最低值。

在 3 月的 Pwn2Own 大赛上,严苛的赛制规定,一个团队只能在 15 分钟的时间内最多进行 3 次尝试。也就是说,虽然概率很小,但是他们仍然有失败的可能。

上帝眷顾他们的理由或许很多,但是有一条不容置疑,那就是这群中国骇客身上流淌着的,永不磨灭的骇客精神。