买不起玛莎拉蒂，最次也要被玛莎拉蒂撞死。

这个无厘头的愿望，仔细想想竟然好有道理——那些抢着上王思聪的节目，被“老公”花式鞭挞的网红们，脸上都浮现出享受的神情。

好，作为一个严肃的媒体，雷锋网宅客频道告诉你：其实，每个人，都有，被玛莎拉蒂撞死的机会。

因为在你的iPhone上，曾经存在过一个“玛莎拉蒂”般的神级漏洞——三叉戟。

为什么用玛莎拉蒂来比喻三叉戟？他们有三个共同点：

1、玛莎拉蒂价值百万人民币，三叉戟漏洞同样价值百万，美元。

2、有幸被三叉戟漏洞或玛莎拉蒂“碾压”的人，都是祖坟冒青烟的大咖。

3、我回车库看了一下，其实玛莎拉蒂的标志就是三叉戟。

想想，你的iPhone上曾经有一套可以换来玛莎拉蒂的漏洞，而你却苦逼地每天搬砖。天啊，即将过去的2016就是这么疯狂。

年关岁末，我们来聊聊三叉戟漏洞的狗血故事吧。

公公叫完婆婆叫，累觉不爱的iOS工程师

故事还是从盘古说起吧。不是盘古开天，是越狱大神盘古。

2016年7月，苹果正在哼着小曲准备一个多月后iPhone 7和iOS 10的重磅发布。iOS9的版本此时完美收官在看上去很吉利的iOS 9.3.3上。

岁月静好。

24号，周日的午后，盘古团队静静地在网上挂出了越狱工具，通吃iOS 9.2-9.3.3。

脑补一下：大洋彼岸，苹果的工程师。

十多天之后，iOS 9.3.4推送，苹果咬着牙告诉所有的用户：强烈建议升级，否则要粗大事！

这个工程师奋战了无数个昼夜写出的打死不改版的iOS 9.3.4，看来只做了一件事，就是修复盘古越狱使用的漏洞。

双眼通红的工程师，以为自己终于可以睡个好觉，静待iOS 10了。

然而结果是，过了十天之后，苹果又双叒推出了iOS 9.3.5。。。鬼知道在这十天里工程师们经历了什么。

这十天里，发生了另一个精彩绝伦的故事。

民权斗士生擒“玛莎拉蒂”

这个故事雷锋网宅客频道（微信搜索：宅客频道）要从阿联酋人权斗士曼苏尔——曼大爷说起。

曼大爷有一台iPhone 6。一天，他突然收到两条短信，对方写道：“我手里有些“猛料”，阿联酋监狱存在虐囚事件！详细链接附在后面。”

然后，是一串短链接。

曼大爷收到的信息

你以为曼大爷会焦急地点击查看吗？图样。

实际上，曼大爷可不是软柿子，他就像阿联酋的唐僧，每天被各路妖孽惦记。被算计是他的日常，在过去的日子里，他曾经数次收到过钓鱼链接攻击。所以，这次他想都没想，就把短信转给了好基友：加拿大公民实验室(Citizen Lab)的研究人员。

没错，这一串链接，正是用来攻击曼大爷的。只是，所有的安全研究员都没想到，这个攻击所利用的漏洞，竟然是如此劲爆。

简单说吧，你只要点击了这个链接，你的手机就对黑客透明了。对方甚至能透过手机，闻到你的呼吸。

公民实验室和合作伙伴美国网络安全公司Lookout Security惊出了一身冷汗。因为这组漏洞在理论上来说，可以用来控制全世界的iPhone。

曼大爷无心插柳，不小心发现了iPhone史上最大的漏洞，从黑市的价格来看，至少值几百万美元，足够买五台玛莎拉蒂。

安全研究员决定把这个劲爆的消息告诉苹果，这就是iOS 9.3.5的来由。这组漏洞被命名为三叉戟。

一边是傲娇的曼大爷，另一边是哭晕在厕所的黑客。

曼大爷（曼苏尔）和试图搞他的组织们

NSO

这套漏洞的主人是以色列网络军火商NSO Group，说它是以色列的公司并不准确，虽然NSO运营在以色列，但位于旧金山的私募股本公司Francisco Partners在2014年以1.2亿美元的价格收购了NSO大部分的股权。

在LinkedIn上，可以找到这家公司的一些信息。资料显示这是一家“互联网安全软件解决方案和安全研究领域的独特公司”、“公司主要负责移动和PC环境中的一些独特软件的开发”以及“公司还专攻移动和PC控制环境下一些抢手解决方案”。

看起来都是些废话，不过在资料里公司的“专攻项目”还是泄露了天机：互联网安全、移动安全、网络威胁以及渗透测试等。

简单说来，NSO就是开发高科技间谍工具的公司。

对于玩“入侵”的公司，漏洞就是他们的“核心科技”。而这组可以用一条链接来控制iPhone的漏洞，无疑是漏洞中的皇冠。对于NSO来说，这不仅是一组可以制造间谍工具的漏洞，而是他们江湖地位的基石。

脑补一下NSO老板叼着烟卷和某国官员谈生意的场景。“我们手里的漏洞，可以让全国的iPhone都在你的掌控中，想偷听谁说话就偷听谁说话，想打开谁的摄像头就能打开谁的摄像头！没事还能看美女自拍下载10G资源神马的，顺着这条街你出去问问，谁还能办到？”

电影《1984》中，老大哥无时无刻不在看着你

iOS9.3.5，让NSO一夜梦碎。用玛莎拉蒂撞人，不但没成功，车还被罚没了。

这个漏洞究竟有多吊？

虽然看了这么多，但你可能还没get到三叉戟漏洞的逆天之处。

关键词是：“远程攻击”。

雷锋网宅客频道（微信搜索宅客频道）先来科普一下。对于iPhone来说，越狱和攻击在原理上是一码事，都是利用漏洞破坏掉iOS的安全机制。只不过，越狱之后，iOS的掌控权在机主手里；而被攻击之后，iOS的掌控权在黑客手里。

如此说来，凡是玩过越狱的童鞋，其实都对自己的手机发起过“攻击”。你可能记得，无论是用盘古还是太极的越狱工具，都需要把手机连接到电脑上。这是因为，随着几年的发展迭代，iOS的安全机制已经非常健全，虽然越狱大牛们可以做到利用漏洞干掉iOS的防御系统，但是这种攻击只能在本地发起。简单说来，攻击者必须能够接触到被攻击手机，还要有充足的时间连接到电脑上运行越狱程序。

这其实不太酷。在我们的想象中，真正的攻击应该是羽扇纶巾的黑客轻轻点击鼠标，千里之外樯橹灰飞烟灭。

在三叉戟漏洞爆出之后，360涅槃团队的高雪峰告诉雷锋网(公众号：雷锋网)宅客频道：

iOS在每一次大版本的升级中，几乎都会加入一个非常有力的安全防护机制，如今五年过去，远程越狱iOS的难度成几何数级增长，尤其是iOS7之后，这种级别的漏洞几乎绝迹，所以远程越狱的难度根本不能同日而语。

意大利小子luca曾经放出过一段视频，是通过safari越狱iOS 9.3.2，但是在市面上是没有的。

至于上一次有人公开发布远程越狱iOS工具，还是在五年以前。

高雪峰说：

在iOS的早期，远程越狱是曾经实现过的，但是上一次有黑客团队实现对iOS的远程越狱，还是iOS4.3.3时代。 黑客comex 发布的远程越狱工具，在Safari浏览器访问http://www.jailbreakme.com 即可越狱。

所以，在三叉戟之前，远程攻击iOS9.X，是一个江湖传说。“主流黑客”们或多或少相信这种漏洞的存在，但是从未有人亲眼见过这个“神器”。世界著名漏洞军火商Zerodium曾经悬赏100万美金收购远程攻击iPhone的漏洞，据说有黑客真的成功卖给了他们。这也证明了世界上确实还存在这样逆天的漏洞。

NSO联合创始人Omri Lavie曾经接受军事贸易国防新闻刊物的采访，他说：

我们完全像是幽灵，对于攻击目标来说，我们是完全透明的，不会留下任何痕迹。

在黑客眼里，这真是一句完美的赞叹。

老司机解剖“三叉戟”

先科普一下，iOS的安全级别大致分为应用层、系统层和内核层（层级越高，权限越大）。而如果想要越狱一部iPhone，实际上是拿到内核权限。这需要逐层突破层层守卫，所以越狱往往需要几个漏洞层层配合才能实现。

实际上，三叉戟漏洞由三个漏洞组成。（不然为什么要叫三叉戟呢？）

漏洞1：远程突破iOS的Safari浏览器漏洞；

漏洞2：使内核信息泄露的漏洞；

漏洞3：用于在内核中执行任意代码的漏洞。

【苹果在iOS9.3.5升级中给出的三叉戟漏洞详情】

盘古的越狱大神们在第一时间解剖了“三叉戟”，核心成员DM（陈晓波）为我们还原了这种“远程越狱”的全过程：

1、攻击者首先通过SMS短信把一个链接发送给目标任务，当目标任务点击链接之后，会访问攻击者的一个网站。

2、攻击者的网站上会放置一个针对Mobile Safari的攻击程序，这个程序中，包含了Mobile Safari Javascript引擎的一个 0day 漏洞。

3、攻击程序被执行之后，攻击者会通过浏览器获得手机的执行权限。此时攻击者的权限还只是被囚禁在沙盒之内。

4、接下来，攻击者通过两个内核漏洞（一个内核信息泄露漏洞一个内核代码执行漏洞）获得内核执行权限。

5、获得内核执行权限后，攻击者就完成了手机越狱。这时他会关闭一些iOS的安全保护机制，比如开启rootfs的读写，关闭代码签名等等。

6、完成攻击之后，入侵者就成为了手机的“主人”，可以实现对手机通信、流量的全面监听。

讲真，这组漏洞之完美，让DM也难掩赞叹：

这个JavaScript漏洞是可以在系统开机的时候攻击iOS系统。也就是说系统重启的时候，还会走一遍攻击流程，这有点类似之前的“完美越狱”。

iOS 9.3.5更新

从“玛莎拉蒂”到“一汽夏利”

苹果，用升级iOS的方式官方宣告了三叉戟的存在。

在升级提示中，苹果写道：

本次更新提供了重要的安全性更新，推荐所有用户安装。

这句简单的描述，湮没了所有可能无法追寻的真相。

三叉戟漏洞在“野生”环境中存在了多久？

三叉戟漏洞究竟被多少人掌握？

三叉戟漏洞曾经被哪些人使用，又对谁做了什么？

这些问题，即使是NSO都无法准确回答。一位NSO的某前雇员在接受《福布斯》采访时说的话，也许能够让你管中窥豹：

我知道很多有关NSO产品的事，也知道它如何运作，但我没法公布这些消息。如果我说了，会失去很多东西。公司只会将产品，卖给授权的政府机构，公司贸易行为完全符合出口管制法律法规。

关于这个漏洞的锋芒，还有一些公开的事实。

2015年，巴拿马当地媒体报道，巴拿马政府购买NSO的间谍程序，为此给NSO支付了1060万澳大利亚元，用以“针对移动设备信息的收集”。

毫不夸张地说，只要你有一部iPhone，就有可能是三叉戟的受害者。而且，你可能永远无法知道自己是否被攻击过，或正在被攻击。

然而，从另一个角度来说：最可怕的漏洞，往往是又是最安全的。

例如：核武器拥有最狂暴的杀伤力，但普通人死于核武器的概率，远远低于死于车祸的概率。

“玛莎拉蒂级别的漏洞，不会轻易用在Diors身上。”

虽说满满负能量，但事实如此。

如果你不是人权斗士，或者异见人士，很可能如空气一样被忽视。顶尖黑客和各国政府依靠常识和理智，让三叉戟这个怪兽和这个世界维持着精妙的平衡。但是在苹果推出iOS9.3.5的一瞬间，世界的格局发生了彻底的颠覆。

因为从这一刻开始，三叉戟的原理不再是秘密，几乎一个脚本小子都可以远程攻击一部未升级的iPhone。至此，难得一见的“玛莎拉蒂”变成了遍地开花的“一汽夏利”。

知乎用户arju对于三叉戟漏洞的看法

核武器按钮掌握在总统手里，并不危险。当暴民冲进总统府抢到了核武器按钮，才是末日。

那天早晨，你坐在餐桌前收到iOS9的收官之作9.3.5推送时，一定没有想到，氤氲的咖啡雾气背后，是一个惊心动魄的末日故事。

苹果的“漏洞战争”

即使安全体系再完善，总有可以攻破的方法。

世界上绝不可能仅有一个三叉戟。

面对这个事实，苹果可以选择漠视，就像2016年之前他们做的那样；苹果也可以选择行动，就像现在他们做的那样。

高雪峰说，在三叉戟爆发之前几周，在美国举行的黑客顶级会议BlackHat上，苹果的安全研究员刚刚预告了苹果将要推出的，对提交iOS漏洞的奖励机制“AppleBountyProgram”，一个iOS漏洞最高可以获得20万美金的奖励。

三叉戟爆发之后，付出代价的苹果加快了行动。这就是9月那场著名的“鸿门宴”。

苹果低调地向全世界iOS黑客大牛发出邀请函，邀请他们到位于库比蒂诺的苹果总部与苹果高层见面。有关这次会面的一切，苹果都和黑客们签订了保密协议。

从泄露的受邀名单来看，这些越狱黑客都是响当当的人物，包括意大利黑客LucaTodesco、德国安全专家"树人"StefanEsser（i0n1c）、神作JailbreakMe的作者NicholasAllegra（comex）、加拿大年轻黑客iH8sn0w、中国的盘古团队、360涅槃团队、腾讯科恩实验室等。

某位参加了会面的大牛表示，这次会面虽然没有外界猜测的那么神秘，但是却昭示了苹果态度的转变：

之前他们相对傲慢，认为自己的安全团队很厉害，不需要你们帮我发现。而这次和我们会面主要目的是放低姿态，认可你们这些人，帮我积极发现问题，共同促进苹果安全。

另外，这次“鸿门宴”上，苹果还正式发布了“AppleBountyProgram”赏金计划，但是只有参加了这次会面的黑客，才有资格提交漏洞获取赏金。

苹果第一次放下身段，对越狱大神们笑脸相迎。但可能只有上帝才知道，这些越狱大神背在身后的手上，是不是真的握有另一个三叉戟。而那些仍旧飘荡在法外之地的“三叉戟”们，究竟掌握在谁的手里？

天平两端，一边是沉甸甸的金钱和闪光欲望。另一边，是脆弱的良知。

2016年，这架天平倾覆了一次。