越獄就是一個貓鼠遊戲,這回,老鼠又贏了。
昨天凌晨,越獄團隊evad3rs發布了iOS 6, iOS 6.1的蘋果iOS全系列設備越獄工具Evasi0n,允許用戶一鍵越獄,不過幾分鐘就突破了蘋果的安裝限制。
Cydia appstore 的管理員Jay Freeman 表示,上線僅6 個小時,Evasi0n 就被使用了至少80 萬次——這還是保守估計,因為Evasi0n 上線第一天帶來的海嘯般的訪問多次把Cydia 的服務器整垮了。到了第二天,訪問量達到170 萬次。
蘋果的iOS 系統每升級一次,iPhone 和iPad 的越獄難度就會增加一些。Evasi0n 也不例外,evad3rs 四人越獄團隊之一的David Wang 表示,整個越獄過程至少利用了iOS 系統裡的5 個不同的、新的漏洞才完成。
David Wang 向Forbes 講解了Evasi0n 的整個越獄過程,整理如下:
Evasi0n 首先會運行libimobiledevice,該程序使用了和蘋果iTunes 相同的協議,能代替iTunes 與iOS 通信。Evasi0n 利用了iOS 移動備份系統裡的一個漏洞,獲得了幾項原來無法被訪問的設置的訪問權限(設置設備時區的一個文件)。
Evasi0n 會在該時區文件中插入一個文件軟鏈接(Symbolic Link),可以將操作系統裡的訪問請求轉移到其他指定位置。這樣,那條鏈接就轉到了某個特定socket——不同程序間的限制的通信渠道,David Wang 把它比喻成" 直達莫斯科的熱線"。Evasi0n 把各個程序與Launch Daemon 通信的socket 做了修改(Launch Daemon 縮寫成launchd,是iOS 設備啟動時首先加載的主程序,它可以啟動需要"root" 權限的其它應用。)這就是說,每當iPhone 或iPad 的移動備份系統啟動,所有的程序都能獲得該時區文件的訪問權限,再加上Symbolic Link,這些程序就能通過launchd 打開了。
為了防止程序訪問launchd,iOS 還有一道防線:代碼簽名(Code-signing)。這一限制要求所有在iOS 設備上運行的代碼都得被蘋果審核通過,並且附有對應的簽名。相應的,Evasi0n 準備了一個貌似沒有代碼的新應用,當用戶打開該應用的時候,它就會利用Unix 的"shebang" 把戲,調用另一個已簽名的應用的代碼。然後再調用前面提到的launchd,再用launchd 運行一條"remount" 命令,該命令會把原來只讀的根文件系統(root file system, RFS)變成可寫。
RFS 可寫以後,Evasi0n 接著修改launchd.conf 文件——修改了launchd 的配置文件以後,Evasi0n 前面做的工作就可以保留下來了,這時越獄才是" 一勞永逸" 的,之後,哪怕設備重啟了,用戶也不用重新再越獄了。
不過,儘管經過了這麼複雜的步驟,設備的限制在" 內核(kernel)" 層被解除之前,越獄都是未完成的。蘋果iOS 系統的內核層裡還有一個AMFID(Apple Mobile File Integrity Daemon,蘋果移動文件完整性守護進程),AMFID 會檢驗代碼簽名,防止未經允許的程序運行。每當有程序運行的時候,Evasi0n 就會利用launchd 為AMFID 加載一個函數庫,替換AMFID 原來檢查代碼簽名的函數,之後每回程序啟動就會返回"approved" 的結果了。David Wang 在此不願透露解決AMFID 的更具體的信息," 蘋果他們自己能整明白的。"
為了防止黑客在系統內核層面篡改內存,iOS 還有一道防線:地址空間佈局隨機化(Address Space Layout Randomization, ASLR)。當一個應用程序加載時,ASLR 就會將其基址隨機設定,防止黑客篡改該段代碼。但是Evasi0n 還是通過ARM 異常向量(ARM exception vector)成功定位了基址。當出現程序崩潰時,ARM 異常向量會報告崩潰究竟發生在內存的哪個位置,於是,Evasi0n 就模擬了一次崩潰,檢查ARM 異常向量給出的崩潰報告和崩潰位置,拿到足夠的信息就可以把設備內存裡的內核的其它部分了找出來了。
擺平ASLR 以後,Evasi0n 就會利用iOS 連接USB 時的最後一個漏洞,把內核內存裡的某個地址交給一個程序," 等著用戶再把它返回"。Evasi0n 接著就可以改寫內核的任意部分了。首先改寫的是對內核代碼修改的限制," 進入內核以後就再無安全可言了。"David Wang 表示," 我們就贏了。"
Source:
http://ppt.cc/453M
http://ppt.cc/ciiq
