FBI如何費盡心力破解了蘋果，以及，iOS系統究竟有多安全？ | 雷鋒網公開課

本文作者：小芹菜

2016-04-08 14:17

導語：這場攻堅戰背后，FBI是如何破解蘋果的？蘋果系統究竟有多安全？

雷鋒網按：本文來自硬創公開課 | FBI與蘋果之間的安全攻堅戰專場，內容整理自Song的演講實錄。

分享嘉賓：李嵩Song，西雅圖Newsky Security公司聯合創始人兼CTO，先后畢業于上海交通大學，西雅圖華盛頓大學（University of Washington)，專注移動和物聯網安全。2002年獨立設計制作CAN-bus reader破解車載計算機通信，2015年參與成立Newsky Security，15分鐘破解美國最大智能鎖廠家kevo產品；業內知名防病毒專家，黑客。

FBI如何費盡心力破解了蘋果，以及，iOS系統究竟有多安全？ | 雷鋒網公開課

（Song大牛在電腦前準備公開課的演講）

| FBI VS Apple 事件分析

1、FBI是如何破解蘋果的？有哪些可能的方式？

首先我來講講破解iPhone的可能形式。iPhone鎖屏密碼關系到設備存儲的數據，這是FBI真正的目標。如果鎖屏密碼輸入錯誤超過10次，iOS就會銷毀設備上面的數據。所以FBI為了拿到數據，一種做法是直接獲得密碼，可以找嫌疑人要（撬出來，騙出來，老虎凳辣椒水不行就上美人計），或者利用以前的跟蹤拍攝記錄看到嫌疑人輸入密碼的過程，當然還可以根據屏幕上面的手印來猜。

先介紹一下背景，這次事件是因為FBI之前獲得一臺蘋果5C，型號很重要，不同蘋果手機跟配套軟件不同破解方式不一樣，這次是在美國一次槍擊事件中拿到，基本確認這就是疑犯的手機，FBI就理直氣壯找蘋果來破解。那么問題來了：為什么FBI要找蘋果獲取？獲取數據會有幾種方式，下面我們就分析一下常見得獲取數據的幾種方式。

獲取數據的幾種方式

是這樣的，傳統來說，作為FBI這樣的執法機關主要有三大類獲取數據的方法，第一種就是傳統的做法，比如說他可以把嫌疑人抓起來，問他你交不交出來？威逼利誘。第二種通過法律手段去找蘋果公司，讓公司提供數據。第三種是去找黑客，通過技術手段獲取相關數據。

在這個情況下，因為手機的主人已經被FBI干掉了，蘋果在這件事情抓住機會，不合作，大肆公關，，做了一次很好的PR行為，我們只好找黑客，進行數據的提取。

2、從技術層面來說，最可能的破解方式是什么？

從技術層面來說，對于數據的破解，軟件也好，硬件也好，一般都是通過系統本身的漏洞來做。在歷史上，蘋果的設備手機、PAD都出現過漏洞，當然對其他手機來說，蘋果的漏洞相對來說是很少的。有的是說，通過界面讀取器獲得數據；還有的說把系統打開來，用硬件讀出來。這里我給大家看張圖：

FBI如何費盡心力破解了蘋果，以及，iOS系統究竟有多安全？ | 雷鋒網公開課

大家可以看到，圖片上是一個硬件。它能快速模擬人工的輸入，然后進行暴力的密碼破解。大家在ebay上也能買到，很便宜的，淘寶上估計更便宜，應該是一種很好的破解方式。那么為什么這次大家不看好這種方式呢？因為蘋果對無限輸入密碼這種方式做了防護，如果你多次輸錯密碼，那么蘋果手機里的數據就會被永遠擦除。

FBI如何費盡心力破解了蘋果，以及，iOS系統究竟有多安全？ | 雷鋒網公開課

現在上的這張圖，是一個對閃存處理器進行讀取的圖，蘋果手機內部也是用的類似芯片，大家可以看到非常暴力，把閃存芯片各個引腳完全接起來，在蘋果防護面前只能讀取蘋果5c或更低端更早期的產品的能力，后面的5S、6S之類就沒有辦法讀取，詳情我后面再跟大家介紹一下。

跟大家說一下，這次在安全圈子里（包括中國和美國的頂級黑客）討論的結果，應該是上面兩張圖的配合。就是說，大家利用蘋果5c這個設備，對于輸錯密碼的這種防護機制本身不夠。大家比較公認這次黑客的做法是用后面這張圖的做法，把蘋果手機里面的狀態全部復制，用類似于第一張圖的方式進行輸入，當多次輸入錯誤后，設備將自動清除數據時，用第二張圖里的設備將手機里面的狀態恢復，然后繼續輸入密碼。

可能有的聽眾要問了，看第一張圖蠻土的，為什么要這種做法。從蘋果的安全體系架構，安全鏈條來說，最薄弱的一點就是四位鎖屏密碼，因為他的組合一共就是一萬種，但是如果沒有第二張圖的做法，只有10次機會。有這個設備就可以幫助實現用上面類似細節輸入1萬次密碼，而不被蘋果擦除整個設備里的信息。

3、歷史上類似的事件從未停止

在計算機整個歷史上，黑客和工程師之間的攻防戰從來沒有停止過，iPhone也不例外。特別是像蘋果公司這樣，iPhone擁有一個巨大的生態體系，里面有無數的金錢利益在里面。歷史上曾經發生過幾個比較著名黑客攻擊事件，我這里給大家列一下。

比如說黑客比較推崇的高科技的攻擊方式，以前蘋果里面叫bootrom漏洞。

把蘋果操作系統啟動起來，蘋果手機就像普通unix機器一樣，我們可以獲得命令行的界面，像電影一樣，黑客輸入秘密行，就可以獲得shell，在獲得shell后，我們就能給蘋果手機發送命令碼，讓他們把秘密告訴我們。

說到輸入命令，在早期的IOS7里面，在手機上接入鍵盤，然后正常接入密碼，IOS7似乎不會在意你輸入多少次，我們就可以一直嘗試輸入。IOS8也有類似的事情，IOS8還發生過比如說你把密碼輸入錯了，但是它不會馬上計數，就是說你把它馬上斷電，等到再次開機時，IOS8會忘記你之前輸錯的記錄。就是說我可以無限次地輸入，這也就是前面那張圖（eBay或者淘寶上可以買到的設備）可以進行無限次攻擊的基本原理。

前面這些都是黑客較推崇的。事實上，在蘋果手機歷史上出現不那么復雜不那么高端卻一樣很有效果的方法。比如最近剛出的IOS9.3.1，就有很簡單用Siri 操作的方法，可以用語音把APP調出來。通過對Siri的操作，繞過鎖屏密碼，對蘋果手機進行攻擊。

| 蘋果系統究竟有多安全？

蘋果系統究竟有多安全，為什么FBI要如此費盡心思？我們來講講iOS的數據加密機制。

1、 iOS有哪些層面的加密，最難破解的部分是哪里？

我先給大家上一張圖，這個是從盤古盜來的一張圖，它非常好地解釋了蘋果iOS里面的加密體系：

FBI如何費盡心力破解了蘋果，以及，iOS系統究竟有多安全？ | 雷鋒網公開課

這張圖看起來結構比較復雜，現在給大家解釋一下。

首先蘋果IOS系統把整個儲存芯加密。加密的密鑰是通過鎖屏密碼，加上一些其他輸入，通過一個算法，生成一個偽隨機數，偽隨機數跟設備和鎖屏密碼，加密的密鑰通過存儲芯片，對所有數據進行加密。

這個除了你的全盤加密以外，對于你的每個文件還要有一個單獨的密鑰，可以想象每個文件都要有自己的密鑰，這是一個相當嚴格的加密方式。但是蘋果覺得這樣還不夠，因為文件加密后，當系統打開文件以后，你的文件就被解密了，因為要讀取數據，那么等到數據讀完以后，這個文件還要不要繼續加密呢？所以蘋果就引入了第三種加密方式。

這要說到這張圖的右上部分，叫加密級別的問題，為什么要分加密級別呢？可以這么說，每個人的的加密需求是不一樣。比如說我們大家是平民老百姓普通人，加密需求沒有那么強，大家都知道陳冠希，冠希哥手機上的敏感信息蠻多的，所以他的加密需求要比我們高不少。

既然說到了冠希哥，那我們就本著看熱鬧不嫌事大的原則繼續往上走。這幾天美國大選鬧得紛紛揚揚的，大家也都看到了。這就要說到希拉里了，希拉里阿姨手里拿著不少關系到美國國家安全的東西。然后她把這些數據都放到一個服務器里，這個服務器又放在哪呢？說出來可能嚇大家一跳，她把服務器放在自己家的車庫里，確實是蠻神奇的一件事。

繼續說加密。希拉里如果她的手機上有美國國運相關訊息，那她的加密可是非常非常小心。每個人加密級別配合每個人不同的需求，加密越復雜，手機運行越慢。數據是安全了，可是用戶覺得不爽。普通人加密級別低一點，日常照片萬一被黑客拿去，可能不會有太大的事，如果是冠希哥，可能就是上百萬美元的事了。

最難破解的部分是哪里？

其實是這樣的，通常加密我們是把它們作為一個體系來說的。對于最難破解的部分，我想應該是鎖屏密碼產生的一個全局密鑰。因為在蘋果的iOS9里面，如果你的鎖屏密碼輸錯了，那么它會把所有的數據擦除，這可以說是一個災難性的結果。

鎖屏密碼會作為iOS設備（iPhone，iPad）全盤加密密鑰算法輸入方式。如果輸入不同鎖屏密碼，對同一設備會產生完全不同的密鑰，對全盤數據進行加密的時候，也會產生完全不同的加密結果，解密方式也完全不同，下面我們說一下全盤加密的密鑰的存放問題。

全盤加密的密鑰怎么存放？

這個全盤加密的密鑰，在最新的iPhone手機里，它是存放在一個內部閃存一個非常特殊的空間里面，這個空間是可以被安全的擦除的，就是說你寫進去以后，它可以被擦除，甚至可以被遠程擦除。

我們講一個例子，比如說希拉里的手機被人偷走了，這里面可能有非常非常關鍵的信息。那么希拉里說沒關系，只要我手機里的數據不被拿走就好，我其他地方反正都有備份（比如說五角大樓里面有備份），那么大家可以遠程地把手機里的數據擦除掉，讓黑客拿不到數據。

這就是鎖屏密碼如何保護手機里的數據，并不是一個簡單的密碼，而是一個通過相當復雜的算法計算出來的一個密鑰來保護大家的。

那么，蘋果的鎖屏密碼保護機制怎么樣，相對于安卓來說，優勢在哪？

2、聊一聊蘋果的鎖屏密碼保護機制

蘋果的鎖屏密碼保護是如何進行工作的？

蘋果的鎖屏密碼保護機制，從表面看跟安卓的鎖屏密碼看起來差不多，但具體實現卻是天壤之別。跟安卓相比，蘋果最大的優勢是軟硬件一體的體系，喬布斯我們黑客叫喬教主，喬教主生前對軟硬件一體有一種近乎偏執的堅持。現在來看，從安全性來說，軟硬件一體是一種非常有見地的做法。

軟硬件一體讓蘋果面對硬件設備類型相當少，操作系統完全是蘋果控制。一旦發現安全問題，蘋果能讓大家快速升級到最新的軟件系統，把以前發現的軟件漏洞進行修補，大家看看自己手上的蘋果手機，應該是iOS9以上的版本。如果你還是老版本，蘋果就會不停地催你升級。美國這邊的調研顯示，只有百分之二十設備是沒有鎖屏密碼的。一旦有了鎖屏密碼，就會啟動全盤加密。

蘋果的設備，大家都是統一的iOS系統，機型也相對較少。

相對安卓來說，蘋果有什么厲害之處？

安卓這邊可以說是五花八門了，我們專業叫碎片化。因為有各種各樣的廠商可以做各種各樣的機型，可以把安卓開源系統做各種各樣的裁剪，裁剪完后就放到系統上去。至于以后什么時候升級，什么時候打補丁，怎么樣做應用商店，在上面要不要做root神器，以及各種各樣軟件的發布渠道我就不詳細說了，這些東西都損害了安卓的安全性。

安卓因為打中低端市場，各個安卓廠商也不太會像蘋果一樣，用心地加入各種各樣最新的硬件來保護大家數據安全。相對于蘋果而言，安卓的安全性一直是業界特別擔心的問題。這也就是我們公司 Newsky Security（點擊可查看網站，中文叫青天科技）為什么把安卓安全作為我們主要的努力方向。

蘋果的破解鎖屏密碼的手段有哪些？

傳統手段就是說找手機的主人來要，或者通過社會工程的方法來騙。技術手段主要還是通過找蘋果鎖屏密碼最薄弱的地方進行破解。

前面提到了鎖屏密碼，作為非常復雜的算法輸入，會生成全盤加密的密鑰，破解密鑰是非常非常復雜的，計算量非常大。不管你再有錢有權，用世界上最強大的計算機來計算密鑰，在有生之年也算不出來這個密鑰。相對來說，鎖屏密碼就容易多了，最多一萬種組合，猜這個密碼本身就是最薄弱的環節了。

這次幫助FBI破解iPhone5c的情況，在業界推測，最有可能的是利用iPhone5c對鎖屏密碼輸入錯誤計數上的一個漏洞，也就是說沒有記住一共輸錯了幾次。通過這個漏洞限制了iPhone5c記錄輸錯密碼的次數，從而達到嘗試所有密碼，最終破解iPhone的目的。

雷鋒網：也就是說，一旦繞開輸錯密碼次數這個限制，剩下的破解就是自動遍歷所有密碼可能性了。

是這樣的，如果蘋果設備不記得你輸錯多少次密碼，就可以隨便的試，畢竟組合就一萬種。

（其實蘋果的安全方面可以談很多，這里只提到了其中的一些，也歡迎大家踴躍留言評論，相關的問題可以反饋給嘉賓解答）。

蘋果系統的弱點在哪里？

蘋果系統的弱點在哪里，我前面講了很多蘋果系統的優勢，但是毫無疑問任何一個系統都是有弱點的，在計算機系統攻防之中，天平永遠傾向攻擊一方。因為攻擊可以攻破一個點，防護需要防護一座城。

蘋果的弱點，為了給用戶提供方便使用，有意或者無意犧牲部分安全性。我舉個例子，這次最新版本iOS9.3.1，語音助手Siri為大家開了新的破解的門。

這次的最新版本iOS9.3.1可以呼出Siri，比如說讓它搜索推特或者郵件，如果說郵件里有圖片，推特里有發推的人，可以長按圖片，把圖片加入相冊，或把聯系人加入“我的聯系人”里面，這時候可以開始執行加入聯系人APP或加入相冊APP，不需要鎖屏密碼，繞過了鎖屏密碼。（這個漏洞蘋果已經修復）

所以說呢，蘋果系統也還是經常會出現這樣或者那樣的漏洞，好在蘋果公司是認真負責地在不斷更新系統，大家要記得看蘋果公司的公告，如果沒空看公告或者覺得公告太難，那么保持系統更新就好了。

| 如何評價FBI VS Apple 事件？

對安全業內人士有什么啟示呢？

說實話，這次FBI事情，作為一個從業人員，特別是自己有個初創公司，還是很開心的。因為蘋果領著大家跟美國政府機構FBI搞的這次巨大的“PR活動”，引起全球對安全問題的關注。對于蘋果公司來說，更大的價值各就是個公關活動品牌價值，提高大家對安全的重視意識。

從技術角度來說呢，我們可以看到即使是像蘋果這樣一個實力雄厚，并且對于硬件和軟件的完美結合有著近乎偏執的堅持的公司，依然時不時出現一些安全問題。這也讓我們意識到安全本身的難度到底有多大。同時，我們也可以看到，很多給用戶便利的行為往往是通過犧牲安全為代價的。當然，我們也看到了一些新的安全方面研究方向，比如說對于iOS安全方面的新的審視。

對于蘋果來說，又有哪些需要改進的地方？或者說，對iOS本身的安全性會產生什么影響？

蘋果呢，我想這件事情產生的影響基本是在他們公司軟硬件路線圖里面的，iPhone5c本來就是蘋果公司相對低端的產品，對安全性的保護也會比較弱一些。我相信蘋果公司還是會一如既往的走高端路線，用最先進的硬件，最先進的軟件來配合，來最好的保護用戶數據，同時盡量減小對用戶體驗的影響，畢竟用戶體驗是他們安身立命之本的。對于低端的設備，他們可能會用成本相對更低的辦法。