【周末·内幕】黑客首次揭秘如何越狱 iPhone X :乔布斯的苹果终有缺口

2017年12月3日11:09:50 发表评论 324 views

公众号回复:分析,有大量手机维修干货


在顶级黑客眼中,从来没有不可能。


这不,这个黑客在 11 月初举办的第十二届 POC 安全大会上针对苹果最新机型 iPhone X 上搭载的 iOS 11.1. 1 系统,成功实现越狱。


这个黑客就是腾讯某实验室的研究员陈良,前不久他带领的团队还拿了移动  黑客大赛的冠军,获得“世界破解大师”的称号。


几年之前,买了 iPhone 之后最重要的事情之一就是给它越狱。以非官方 app 商店为首的一众越狱后才能使用的开源软件们给 iPhone 带来了令人惊讶的新功能和可定制性。但 源中最知名的 发出了“再见”的消息。Cydia 三大源中的两源已经停止服务,仅剩的 BigBoss 源显得有些孤单。


关于越狱已死的说法喧嚣直上,但在陈良等人眼中,这场与苹果之间的猫鼠游戏一定会持续下去。


不过,把这场博弈比作游戏似乎有些草率,毕竟在此过程中,面对的除了“对手”的“奇袭”,更是对自己抗压能力的冲击。


“越狱期间我买了一个小酒壶,郁闷时候喝两口,偶尔还能激发别的思路。”陈良说。


能对一扇扇门“视若无物”的破解大师还有烦恼?是的,他有。


成功没那么容易


看起来酷炫,但苹果越狱这件事,其实没有你们想起来那么容易。


苹果的 Root 权限不对用户开放,越狱就是获取 iOS 的 Root 权限,获取后用户使用 iOS 权限大大增加,可以查看 iOS 文件系统,免费安装 App Store 以外的海量软件,更换外观主题等。对安全研究人员来说,iOS 系统源代码的闭源性以致所做研究有限。


即使是调试自己所写的 APP,都需要购买开发者账号在 Xcode 中进行调试,这也是 iOS 系统安全研究人员格外小众的因素之一。


自 2007 年 7 月第一款 iPhone 上市,开发人员发布了第一款无名越狱工具,打开了另一扇天窗。此后,苹果每次发布新机、新版本总有人跃跃欲试。


无论是 2007 年被开发出适用于第一代 iPhone 和 iPod touch 的 JailbreakMe,还是国外著名越狱团队专为 iPhone4、iPhone4S 和 iPad2 等 A5 芯片设备用户使用的一键式越狱工具 Absinthe,以及在 2014 年国内团队正式发布的苹果 ios7.1.1 的越狱工具,能否越狱成功成为业界对 iOS 研究深度判断的普遍标准,所以实验室自 2015 年以来就开始研究 iOS 越狱。


这是一波三折的经历。


2015年,我们刚刚开始对 iOS 越狱进行研究,那时候主要学习前人成果,对已有的越狱工具进行逆向总结提炼。


2016年,我们在 Mobile Pwn2Own 上破解了 iPhone 6s,并利用内核漏洞成功取得 iPhone 6s 内部的照片资料。风光背后却是团队付出了大量时间和精力,彼时我们还没有研发出自己的越狱工具,在没有调试能力的时候我们只能从一些奔溃日志中查询蛛丝马迹甚至靠猜测进行攻破过程。


明明一小时就能完成的工作,在没有调试情况下却需要几天时间来完成,也是在那时,我们清楚地意识到越狱工具对 iOS 研究的重要性。在此之后,我们开始针对性地寻找一些可越狱的漏洞。


时隔半年,期间遭遇过四次团队队员发现可以用于越狱的漏洞,并耗时编写越狱工具,而编写到一半甚至快完成时,发现苹果更新的版本中补住了这一漏洞。除此之外,团队成员的流动也给研究雪上加霜。


乔布斯的苹果终究有缺口


长期以来,封闭式和开放式的编程方式被形容为“大教堂”和“集市”两种模式。而苹果的 iOS 与安卓系统被视为两个完美代表。然而,随着这几年苹果逐渐开放权限、开源部分内核代码,这种“大教堂”式的完美形象仍旧存在。但是,乔布斯的那个苹果终究是有缺口的。


简单说 iPhone 的越狱步骤可概括为三步:首先获得低权限的代码执行权限,然后想办法绕过沙盒保护,随后做系统内核提权。


实际上在 iPhone5 之前(包括iPhone5)的苹果手机上完成以上这三点就可以实现越狱,但从 iPhone5S 开始,iOS 推出 KPP,即对内核进行保护,即使能进去,内核在保护机制下仍会阻止你修改内容。但对我们来说,修改内核的目的是把其自有的安全机制去掉,然后安装自己的应用程序,调试系统组件,但KPP的推出让不少安全研究人员竹篮打水。


在 iPhone7 推出后,苹果为了加强对内核的保护,推出了 AMCC(硬件保护),从硬件级别对内核打补丁,其设计理念是即使苹果不可能在短期将所有漏洞补住,但他可以尽全力阻止在内核有任意代码执行时手机不被篡改,这也被认为是最后一道防线。


苹果此举几乎堵死了越狱之路,这也给越狱带来很大困难。不久前面世的 iPhoneX 中也加了防止代码执行的保护措施,将这堵墙砌得更高。


实际上,苹果一次一次加固了这堵“柏林墙”。


一方面是对手机的直接保护,从iPhone 5 到 iPhone 7 再到 iPhoneX 是一个不断迭代的过程。


另一方面则是系统版本的更新,比如 iOS 10.3.2 到 10.3.3 的版本更新,每一次系统版本的更新都会修补漏洞,引入一些系统级别的保护.


我们曾发现,某一接口可以用于内核内存布局,可以利用其进行越狱,但在 iOS 10.3.3 版本中将此接口砍掉修复了这一漏洞。


苹果不止封上了上面这条路。


比如,之前,获得内核具备任意代码执行的权限,就可以获得 Task for pid 0(tfp0),但苹果在 iOS10.3 等版本上做了很多加固,这些都可对越狱造成影响。


越狱有风险,但是把双刃剑


获得更高权限对于果粉来说似乎格外有吸引力,但衍生出来的问题是——越狱之后的手机是否安全。


而在我看来,越狱存有风险,但不代表绝对不安全,这是一把双刃剑。


iOS 越狱不代表沙盒被破坏,不代表安装的任意软件都有 root 权限,不代表文件目录可被所有应用任意访问,不代表关键隐私暴露。


越狱只是禁用了部分 iOS 系统先进的防护机制。对用户来说,可以获得更多的权限,但也的确留给不法分子一条“无障碍通路”,这也是诸多支付软件会直接检查系统是否越狱,如果出现越狱情况会直接退出。


当然,目前许多越狱软件做的不够完美,甚至很多越狱软件为了达到自己目的,禁用 iOS 的全部保护机制。


我们跟他们不是一类人,注定了要走不一样的路。我觉得,真正的越狱工具应做到在该禁用时禁用,但在保护用户隐私信息时,也应不遗余力,这也是我们所做的越狱工具的理念。


手持重器,但应行君子之道。


附:苹果手机越狱之后的功能


1、访问cydia应用


越狱之后iPhone中就会出现cydia商店的身影。有大量的独立软件开发人员在cydia上贡献着众多被苹果“无法接受”的好软件。越狱之后,用户就可以随时随地安装更多Cydia上的软件,实现iOS系统无法做到的功能。


2、让iPhone变成免费移动热点


iPhone自带的3G、4G热点功能不太好用?那么你绝对需要试试Cydia商店中的MyWi,iOS系统最强大的移动热点工具。


3、让Siri变得更完美


虽然大部分用户还没有养成使用Siri的习惯,但是越狱之后的Siri确实可以做到更多的事情。甚至连关机、重启这种功能,都可以通过声音来控制。


4、安装自定义主题


也许你已经对iPhone千篇一律的外观和系统界面感到厌烦,越狱之后,就可以安装数以万计的第三方主题模式,让你的iPhone与众不同。


5、安装第三方输入法


虽然有些用户喜欢第三方输入法或者传统的九宫格输入法,但是这些只能在Android手机上随意使用。未越狱的iPhone只能使用苹果自带的输入法。但是一旦越狱之后,什么QQ输入法、Swype等第三方输入法都可以随意安装。


6、在通知栏安装快捷开关


越狱之后,就可以安装非常著名的SBSetting插件了。这个插件可以让你快捷更改手机设置、在通知栏显示各种快捷开关,只要你喜欢,各种开关的组合都可以实现。这样iPhone用户就不用再羡慕Android用户了。


7、让iPhone变得更安全


iCaughtU是一款iphone防盗软件。如果你的iPhone丢失了,小偷只要输入错误的手机密码,iCaughtU就会自动将小偷拍照并且将照片发到事先设定好的邮箱,让警察叔叔去抓他。


8、让iPhone不再受束缚


对于非常注重“权利”的消费者来说,自己花钱买的手机却还是要听苹果的,苹果让做什么才能做什么,苹果不让做就不能,这真的很让人“不爽”。既然花钱买了iPhone,当然要完全听自己的。


9、不用担心忘记锁屏密码


一但忘记,打开越狱助手,删除手机目录/private/var/keychains/keychain-2.db文件,重启即可。

来源:网络 维修狮 整理发布

狮问:一款手机维修问答软件

已入驻百度、360、魅族、小米、三星、阿里巴巴、

腾讯、华为、联想、OPPO、VIVO等应用商城

【周末·内幕】黑客首次揭秘如何越狱 iPhone X :乔布斯的苹果终有缺口

【周末·内幕】黑客首次揭秘如何越狱 iPhone X :乔布斯的苹果终有缺口

领导说,小编工资已与下方广告挂钩,点击一次涨0.5元!

原文始发于微信公众号(维修狮):【周末·内幕】黑客首次揭秘如何越狱 iPhone X :乔布斯的苹果终有缺口

发表评论

您必须登录才能发表评论!