用JailbreakiPhone方法破解NINTENDOSwitch？作者说：还差很远

NINTENDO Switch 一出，香港随即引起炒卖热潮。当然每有新机推出，都会引发一班骇客试试身手，想看看能不能攻破新机（尤其是任天堂主机有着“良好”的纪录）。但意想不到的是这部新机不单不到十日就被攻破，当中的手法，更跟 iOS 一个漏洞有密切关系。

骇客 qwertyoruiop‏ 近日在 Twitter 公开了一张照片，显示他令一部 NINTENDO Switch 显示一句“done”字句，上面还有著名的 iOS 越狱团队“盘古”的名字，这不禁令人想到这部才刚刚推出了十日的新游戏机，是不是那么快便被攻破了？有网上媒体 LiveOverflow 就访问多个骇客组织和 qwertyoruiop‏ ，最终得知这次“攻破”的原理！

that's just how it goes pic.twitter.com/ztkFrbjz5u

— qwertyoruiop (@qwertyoruiopz) March 11, 2017

为什么“攻破” Switch 会跟盘古有关呢？原来这次“攻破”跟去年 8-9 月间 iOS 9.3 一连串漏洞有关。当时，浏览器引擎 Webkit 出现三个漏洞（“三叉戟漏洞”），当用户不小心用浏览器来阅览“有馅”网站时，就会执行任意程式码。当时 Apple 就一口气释出多次更新来修补这个漏洞。过了大半年，想不到“三叉戟漏洞”仍然阴魂不散。

虽然 NINTENDO Switch 并没有一个“让玩家使用的浏览器”，但原来当 NINTENDO Switch 要连接 Wi-Fi ，而那 Wi-Fi 又需要登入时，便需要弹出一个浏览器来将用户重导向一个“强制网络门户（Captive Portal）”网页。有趣的是，任天堂在开发时，竟然用上一个旧版本的 Webkit 套件，里面仍然有那个“三叉戟漏洞”。

当骇客发现 Switch 里面其实是有浏览器之后，就利用 Switch 备有的代理服务器功能，查出每当 Switch 要连上网时，都会连接到一个预设网页“http://conntest.nintendowifi.net”以测试连线状态。于是骇客在自己设置的代理服务器中将“conntest.nintendowifi.net”指向自己，并预先建立钓鱼网站，让 Switch 自己踩进骇客自己设置的陷阱里，从而执行任意程式码。

当然，qwertyoruiop‏ 也重申，他实际上并未攻破 NINTENDO Switch ，他只是在作一些槪念验证，以展示如何在 NINTENDO Switch 内的 Webkit 中执行任意程式码。不过他认为，这可以作为一个开始，去真正破解 NINTENDO Switch 。相信任天堂方面在得知问题之后，好快就会推出更新程式来捣塞这漏洞了。至于到时各位要不要更新自己部 Switch 来等待越狱的一天来临，就要大家自己衡量了。

Just to be clear: I did not jailbreak the Switch. I simply demonstrated a proof of concept exploit that gives me code exec in the browser.

— qwertyoruiop (@qwertyoruiopz) March 13, 2017

LiveOverflow 详细解说“攻破”NINTENDO Switch 的原理

PoC （槪念验证）程式码下载：按此