本著求真和好奇的心態(tài)，此次宅客頻道將帶領(lǐng)讀者們講述此次事件的來(lái)龍去脈、破解流程以及相關(guān)細(xì)節(jié)，試圖將完整的故事呈現(xiàn)給讀者們，讓讀者了解到：

漏洞是什么，可導(dǎo)致何種后果？

這個(gè)漏洞最早是如何被發(fā)現(xiàn)的?

復(fù)現(xiàn)漏洞的具體步驟是怎樣的?

我們是否會(huì)受影響，該怎么做?

該漏洞有何后果？

從iOS 7開(kāi)始，蘋(píng)果設(shè)備就具有一項(xiàng)“激活鎖”功能， 當(dāng)用戶的設(shè)備不慎被偷，只要激活"丟失模式”（Lost mode），盜竊者在沒(méi)有得到合法機(jī)主許可就無(wú)法激活設(shè)備到正常工作狀態(tài)，這使得丟失的蘋(píng)果設(shè)備很難被直接轉(zhuǎn)賣(mài)，不僅提高安全性還降低了失竊率。

這也是許多人在丟失蘋(píng)果設(shè)備后都收到釣魚(yú)短信及郵件的原因——盜竊者試圖騙取APPID賬號(hào)密碼來(lái)解鎖設(shè)備。

然而，此漏洞的出現(xiàn)，意味著任何人都可以繞過(guò)“激活鎖”直接重置該設(shè)備，讓丟失模式形同虛設(shè)！盜竊者可以利用該漏洞將一些非法獲得的設(shè)備直接解鎖后重新售賣(mài)或自行使用。 簡(jiǎn)而言之，當(dāng)你的設(shè)備丟失，你更難將它找回了。

那么這個(gè)漏洞是如何被發(fā)現(xiàn)的呢？

據(jù)外媒報(bào)道，該漏洞最早是由印度安全專(zhuān)家赫門(mén)特·約瑟夫（Hemant Joseph）發(fā)現(xiàn)的，于是宅客頻道（公眾號(hào)：宅客頻道）通過(guò)博客了解到破解的全部操作流程。

iOS 10.1漏洞發(fā)現(xiàn)，源于被坑的購(gòu)物經(jīng)歷

赫門(mén)特給朋友網(wǎng)購(gòu)了一個(gè)iPad，哪知設(shè)備剛到手，卻發(fā)現(xiàn)被開(kāi)啟了“丟失模式”，發(fā)現(xiàn)連接WiFi之后，設(shè)備會(huì)要求輸入之前機(jī)主的APPID賬號(hào)密碼。赫門(mén)特這才知道，自己花了許多時(shí)間挑選iPad，最后卻買(mǎi)回來(lái)一塊“磚頭”——他覺(jué)得自己被徹頭徹尾地耍了，簡(jiǎn)直不能忍！

“自己動(dòng)手，豐衣足食”，作為安全專(zhuān)家的赫門(mén)特決定發(fā)揮自己的聰明才智對(duì)iPad進(jìn)行破解，他立刻想到了讓設(shè)備緩沖區(qū)溢出的方法。

以下為赫門(mén)特個(gè)人博客中對(duì)破解過(guò)程的描述：

我在WiFi網(wǎng)絡(luò)選項(xiàng)中，選擇“連接另一個(gè)網(wǎng)絡(luò)”。

　　跳轉(zhuǎn)到一個(gè)要求輸入用戶名的登錄框。

以上只有一個(gè)輸入字段，如果有字符限制的話，比較難引發(fā)內(nèi)存緩沖區(qū)溢出。但如果點(diǎn)擊“安全選項(xiàng)”，選擇安全協(xié)議WEP，就有另一個(gè)WPA WPA2企業(yè)版的選項(xiàng)出現(xiàn)。

我選擇WP2企業(yè)版，這時(shí)會(huì)出現(xiàn)三個(gè)輸入框：名稱(chēng)、用戶名和密碼，然后我很驚奇地發(fā)現(xiàn)，這里居然沒(méi)有限制字符長(zhǎng)度，可以肆無(wú)忌憚地輸入，真是太適合用來(lái)造成內(nèi)存緩沖區(qū)溢出的情況了！

一直復(fù)制粘貼輸入字符，直到設(shè)備卡住。

我等了一會(huì)兒，看看是恢復(fù)正常還是軟件崩潰，結(jié)果既沒(méi)有崩潰也沒(méi)有恢復(fù)，一直卡著。又等了一會(huì)，我按下了解鎖按鈕，結(jié)果它把我?guī)Щ氐揭婚_(kāi)始的歡迎屏幕了 :(

WTF ？（心中一萬(wàn)頭羊駝奔過(guò)）

第一次嘗試破解失敗后，赫門(mén)特沒(méi)有放棄，開(kāi)始第二次嘗試：

思考了一會(huì)如何誘發(fā)程序崩潰讓它跳到主屏幕上，我想到了利用iPad外殼（iPad smart Case）的自動(dòng)喚醒功能來(lái)試試，因?yàn)榭梢岳盟倪@個(gè)特性： 當(dāng)我們用蓋上外殼蓋來(lái)關(guān)閉屏幕，再打開(kāi)外殼蓋，它會(huì)重現(xiàn)之前關(guān)閉之前的屏幕，繼續(xù)剛才的工作請(qǐng)求。

于是我重復(fù)了剛才的操作，在最后一步iPad卡死的時(shí)候，蓋上外殼蓋子，然后過(guò)一會(huì)兒再打開(kāi)。

過(guò)了大概20~25秒，iPad出現(xiàn)了軟件崩潰，然后把我?guī)У搅酥髌聊唬瑥亩@過(guò)了所謂的“激活鎖”，成功！

由此可以看出，這里出現(xiàn)的漏洞的主要原因在于：連接 WiFi時(shí)的輸入框限制輸入字符的長(zhǎng)度，而在實(shí)際使用當(dāng)中，沒(méi)有人會(huì)使用一個(gè)超過(guò)1000個(gè)字符來(lái)當(dāng)賬號(hào)或密碼。

看到這里，可能有些讀者已經(jīng)想找一臺(tái)iPad來(lái)親身體驗(yàn)一把了，不過(guò)你們可能不會(huì)成功，因?yàn)榘l(fā)現(xiàn)該漏洞的印度專(zhuān)家赫門(mén)非常耿直，發(fā)現(xiàn)漏洞后立馬寫(xiě)郵件告訴了蘋(píng)果官方，并很快得到了蘋(píng)果官方的回復(fù)。

蘋(píng)果很快推出了iOS 10.1.1 的版本更新，修復(fù)了該漏洞，因此該漏洞只可能在iOS 10.1 或者更早的版本中復(fù)現(xiàn)。

然而，“繞過(guò)風(fēng)波”并沒(méi)有就此結(jié)束。

研究員不依不撓，新版本仍能被破解

Vulnerability Lab實(shí)驗(yàn)室的研究人員也對(duì)此問(wèn)題進(jìn)行分析后，發(fā)現(xiàn)利用屏幕旋轉(zhuǎn)和Night Shift（自動(dòng)調(diào)整屏幕色溫）功能可在iOS 10.1.1系統(tǒng)中重現(xiàn)這個(gè)漏洞。

他們提供了一段成功破解的視頻：

宅客頻道發(fā)現(xiàn)，在視頻演示中，主要區(qū)別于破解iOS 10.1繞過(guò)漏洞的地方主要在于：

輸入的字符使用了emoji表情等特殊字符

在最后一個(gè)中反復(fù)使用了智能外殼和屏幕旋轉(zhuǎn)功能

需要很精準(zhǔn)地把握好關(guān)鍵操作的時(shí)間點(diǎn)：在某個(gè)瞬間設(shè)備會(huì)出現(xiàn)不到一秒的主屏幕，這時(shí)需要適時(shí)按下Home鍵才可以完全繞過(guò)激活鎖，這一時(shí)機(jī)很難把握。

宅客頻道編輯找來(lái)了一個(gè)裝載iOS 10.1.1系統(tǒng)的iPad mini 2 , 嘗試復(fù)現(xiàn)該漏洞，但不知是由于沒(méi)有把握好時(shí)機(jī)，嘗試多次后并沒(méi)有成功解鎖設(shè)備。然而在國(guó)外社交媒體上有網(wǎng)友表示自己按照視頻演示，成功破解了iPad mini 2（同樣嘗試了好幾次）。

目前， 宅客頻道還沒(méi)有發(fā)現(xiàn)任何成功利用此方式破解iPhone設(shè)備的案例。在國(guó)外一名研究員安德魯·坎寧安的報(bào)道中，他也發(fā)現(xiàn)了相同的情況：

根據(jù)這個(gè)視頻，我們能夠在運(yùn)行iOS 10.1.1的iPad Mini 2上重現(xiàn)該問(wèn)題，然而在我們的測(cè)試中，我們無(wú)法在運(yùn)行iOS 10.1.1 的iPhone 5設(shè)備中重現(xiàn)這個(gè)bug，在實(shí)驗(yàn)中，iPhone沒(méi)有向iPad那樣旋轉(zhuǎn)為橫屏模式，也沒(méi)辦法用智能外殼來(lái)控制屏幕的開(kāi)關(guān)。

由此看來(lái)，該漏洞在iPad上也需要一定的技巧才能復(fù)現(xiàn)，而在iPhone上幾乎無(wú)法實(shí)現(xiàn)，因此人們其實(shí)并不必為這個(gè)漏洞太過(guò)擔(dān)心，并且相信蘋(píng)果公司也將會(huì)在接下來(lái)推出的iOS 10.2的版本更新中修復(fù)該問(wèn)題。

我們?cè)撛趺醋觯?/strong>