CVE-2016-0844，這串毫不性感的代碼是一個(gè)漏洞的名字。

通過(guò)這個(gè)漏洞，黑客可以拿到 Android 手機(jī)內(nèi)核最高權(quán)限，在主人不知情的情況下翻看查看聊天記錄、銀行卡密碼、隨時(shí)靜默拍照、向任意號(hào)碼發(fā)信息、打電話(huà)。

為此，谷歌向這個(gè)漏洞的發(fā)現(xiàn)者——冰刃實(shí)驗(yàn)室——發(fā)去了一封致謝函。如果你是網(wǎng)絡(luò)安全愛(ài)好者，冰刃（IceSword）這個(gè)字眼一定在你心中占據(jù)著一席神壇。2004年，這款幾乎可以查殺所有木馬的軟件在圈子里聲名鵲起，引起了各大網(wǎng)絡(luò)安全公司的注意。而它的作者，竟然是一位在校的學(xué)生。他就是潘劍鋒。

冰刃的簡(jiǎn)潔和靈性散發(fā)出一種出只有黑客們才可以欣賞的美。如今在各大論壇上，還依然有諸多仰慕者追隨著潘神的名號(hào)，傳揚(yáng)著他的傳說(shuō)。而潘神卻低調(diào)地走出光環(huán)之外，修煉至今。

冰刃實(shí)驗(yàn)室，正是他的回歸。

【IceSword 冰刃軟件截圖】

{潘神的迷宮}

潘劍鋒坐在雷鋒網(wǎng)編輯對(duì)面，一臉平靜地說(shuō)，其實(shí)這個(gè)漏洞并沒(méi)有太多可說(shuō)的，只是一個(gè)新的“系統(tǒng)提權(quán)漏洞”而已。

事實(shí)上，“系統(tǒng)提權(quán)漏洞”是拿到Root權(quán)限的最后也是最難的一躍，在谷歌的評(píng)價(jià)體系里毫無(wú)爭(zhēng)議地屬于高危級(jí)別漏洞。根據(jù)谷歌的致謝數(shù)據(jù)，每年這一級(jí)別的漏洞致謝仍是屈指可數(shù)。但在潘神眼里，這種形式的漏洞是一個(gè)經(jīng)典形式，他只是為這個(gè)漏洞家族又添了一個(gè)新丁而已。這大概像一個(gè)學(xué)霸，看到大家都考95分，自己又有什么可高興的呢？

對(duì)于這個(gè)曾經(jīng)把對(duì)X86操作手冊(cè)倒背如流，對(duì)系統(tǒng)內(nèi)核技術(shù)如癡如醉的“技術(shù)宅”來(lái)說(shuō)，他的目標(biāo)并不是找到那個(gè)最堅(jiān)固的攻城武器，而是制造出無(wú)人可破的防御系統(tǒng)——一個(gè)讓圖謀不軌的黑客永遠(yuǎn)迷失的迷宮。

對(duì)系統(tǒng)底層技術(shù)的了解，增加了他制定這個(gè)目標(biāo)的底氣。他把操作系統(tǒng)被拆分為邏輯背后的一組組代碼。就好像一位建筑家，可以把摩天大廈拆分成鋼筋水泥肌理下的每一條磚。

既然如此，他必須解釋一個(gè)終極問(wèn)題——漏洞因何而存在？

【Android 系統(tǒng)內(nèi)核，一般指最底層的 Linux Kernel】

{漏洞的本質(zhì)}

任何程序都是交互的過(guò)程：輸入信息，得到反饋。而從本質(zhì)上來(lái)說(shuō)，這些交互可以被拆分為“一問(wèn)一答”，也就是“輸入輸出”的單元。

黑客往往通過(guò)構(gòu)建一些異常的輸入。只要程序處理不正確，就會(huì)產(chǎn)生相應(yīng)的問(wèn)題，例如造成程序的崩潰。而通過(guò)精心構(gòu)造提問(wèn)的方式，可以實(shí)現(xiàn)意想不到的效果，甚至讓程序走入你制定的邏輯。

這是漏洞的基本邏輯。

當(dāng)然，現(xiàn)在越來(lái)越完善的系統(tǒng)對(duì)于絕大多數(shù)的“問(wèn)題”都能夠給出毫厘不差的“答案”。只有在極其特殊的情況中，才會(huì)出現(xiàn)漏洞。例如：

某次會(huì)議規(guī)定，與會(huì)者必須喝光面前的水才能離開(kāi)，而偏偏有一個(gè)遲到的童鞋沒(méi)有聽(tīng)到這個(gè)規(guī)矩，在杯中留了半杯水。當(dāng)會(huì)議結(jié)束后，有機(jī)器人自動(dòng)把所有杯子重新填滿(mǎn)。這時(shí)，在原本沒(méi)有喝光的水上面再加一杯水，就會(huì)造成溢出。整個(gè)桌子都會(huì)因此被打濕，設(shè)定好的程序就會(huì)發(fā)生錯(cuò)亂，漏洞出現(xiàn)。

某個(gè)電梯規(guī)定，不能同時(shí)容納兩個(gè)人。所以每當(dāng)一個(gè)人進(jìn)去之后，應(yīng)當(dāng)首先鎖好電梯的門(mén)。但是如果一個(gè)人忙得暈頭轉(zhuǎn)向，忘記鎖門(mén)，就可能出現(xiàn)第二個(gè)人突然闖進(jìn)來(lái)的結(jié)果。這樣一來(lái)電梯就會(huì)發(fā)生墜落。漏洞又出現(xiàn)了。

雖然沒(méi)有鎖門(mén)、沒(méi)有喝水，這樣的“失誤”發(fā)生概率非常小，然而它們發(fā)生的條件卻是確定的，只不過(guò)這種條件相當(dāng)苛刻，在正常的運(yùn)行過(guò)程中幾乎不會(huì)發(fā)生。所以，尋找漏洞變得很簡(jiǎn)單：只要把一個(gè)程序運(yùn)行過(guò)程中的所有“偏執(zhí)”的可能性都一一嘗試，就可以排查掉所有意外發(fā)生的條件。這種情況下，這套系統(tǒng)不就成為了一個(gè)沒(méi)有漏洞的完美系統(tǒng)嗎？

{世界上所有的回答}

好了，接下來(lái)我們要做一件浪漫的事，問(wèn)出“這個(gè)世界上所有的問(wèn)題”。

面對(duì)一個(gè)系統(tǒng)，我們?cè)瓌t上可以畫(huà)出它的“控制流圖”。也就是說(shuō)，假設(shè)我們的計(jì)算能力無(wú)限，對(duì)于每一個(gè)邏輯，我們輸入不同的值，計(jì)算出在怎樣的值下面，系統(tǒng)會(huì)給出怎樣的回答，把這些回答歸納為所有的可能性，再進(jìn)一步對(duì)每一種可能性重復(fù)如上的操作。

如此一來(lái)，我們就可以畫(huà)出巨幅的邏輯樹(shù)，見(jiàn)到一個(gè)分叉路口就嘗試每一個(gè)可能，最終我們的足跡會(huì)遍及邏輯樹(shù)的所有枝杈，把從一個(gè)原點(diǎn)開(kāi)始的所有可能都囊括進(jìn)去。

【邏輯樹(shù)示意圖】

潘神解釋?zhuān)@種方法被稱(chēng)為“約束求解下的具體執(zhí)行”，在這種情況下，會(huì)把所有的情況——哪怕是概率極小的事件——都進(jìn)行預(yù)演。從而排查是否存在程序錯(cuò)亂的情況，進(jìn)而發(fā)現(xiàn)漏洞所在。

然而，這樣的計(jì)算遠(yuǎn)不像說(shuō)起來(lái)這么簡(jiǎn)單。潘神說(shuō)：

看到岔路，計(jì)算什么情況下往左跑，什么情況下往右跑。是一個(gè)特別難于解決的問(wèn)題。而且如果完全計(jì)算所有邏輯上的可能性，對(duì)于數(shù)十萬(wàn)行代碼的操作系統(tǒng)來(lái)說(shuō)，時(shí)間要求過(guò)大?？v然在理論上成立，在現(xiàn)實(shí)中也沒(méi)有可能實(shí)現(xiàn)。

所以，潘神實(shí)際上給出了一個(gè)悲傷的答案：

我們沒(méi)辦法窮盡世界上所有的問(wèn)題，也就沒(méi)辦法驗(yàn)證世界上所有的答案。

在現(xiàn)實(shí)世界里，安全仍然必須有所取舍。用有限的資源去對(duì)抗無(wú)限的可能。而正因?yàn)榘踩且粋€(gè)無(wú)法抵達(dá)，只能無(wú)限接近的頂峰，它才變得無(wú)比迷人。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。