本節書摘來自華章出版社《黑客大曝光:移動應用安全揭秘及防護措施》一書中的第3章,第3.3節,作者 (美)neil bergman ,更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視
當我們談到系統總體的安全性時,我們往往會想到目标系統遭受攻擊以及他人攻擊的方式或自身防禦的方式。我們通常不會想到通過刷機來獲得對系統的控制。就像它聽起來那樣有趣,對于移動安全而言,這是一個待解決的新問題。為了更多地了解移動裝置,或者為了獲得靈活性的需要,我們必須入侵系統。對于ios,蘋果公司努力地阻止使用者獲得裝置的全部通路權限。對于蘋果的每一次的行動,人們都有應對,就是那些源源不斷出現的為你提供iphone越獄功能的工具。
是以我們從讨論如何入侵你的每一部手機開始進入iphone入侵這一領域。而開始的第一步,我們有必要了解術語“越獄(jailbreak)”的确切含義。越獄其實就是擷取ios裝置的全權控制的過程。網上有許多免費的工具可以完成這一工作,或者在一些情況下也可以通過通路一些特殊的網站來實作。越獄成功的結果就是你可以在你的iphone上使用自定義的主題,安裝通用的應用或者對應用進行擴充,對裝置進行配置使得能通過ssh或vnc進行遠端通路,甚至可以直接在裝置上編譯程式。
事實上你可以相對簡單地解放你的裝置,用它來學習作業系統,或者其他,這無疑是件好事。越獄也有一些缺點,你應該記住。第一,越獄軟體到底對裝置确切做了什麼,這總讓人疑問重重。越獄的過程包括通過發掘系統的一系列弱點來接管裝置。在越獄的過程中,攻擊者可以在使用者不知情的情況下較為簡便地插入或修改一些東西。對于一些有名的越獄應用,盡管這種現象從未被觀察到,但這也是值得注意的。第二,假冒的越獄軟體至少出現過一次,它會誘惑使用者注意一些非免費或者根本不好使的軟體。越獄後的手機也可能失去一些功能,有些軟體廠商已經在他們的應用中添加越獄檢查,通過報告錯誤或者使應用程式在啟動時退出(ibook就是這種情況的一個例子)。第三,你必須意識到一個事實,那就是代碼簽名驗證已經失效。即使用者能在他們的裝置上運作任意代碼(越獄的目标之一)。顯然這所帶來的不利之處在于未簽名的惡意代碼也能運作,同時也增加了這種情況發生在使用者身上的風險。第四,在越獄的過程中還存在一些潛在的問題,如“變磚”或者裝置不可用的情況;以及由于越獄使得裝置的保修失效。是以,如果上述情況發生,則裝置很有可能無法恢複正常使用。
認真地考慮越獄的優缺點是十分重要的。一方面,你可以最大程度地使用自己的裝置。另一方面,你把自己暴露在各種可能對裝置造成危害的攻擊環境下。已知的安全方面的問題也很少有越獄過的手機,總的來說越獄的好處超過風險。是以,使用者應該謹慎對待會存儲敏感資訊裝置的越獄。例如,在對存儲聯系人資訊、圖檔或者用來打電話的重要手機進行越獄之前,使用者應該再三考慮。
越獄社群可能是除了蘋果公司之外對ios安全性的提高做的最多的群體。它提供了對ios平台不甚嚴格的通路限制,這使得人們對ios進行了大量安全研究,并促進ios的安全模型從其初期的不安全狀态演變到當今的狀态。越獄社群一直持續不斷地努力工作,并且從科學的角度來看,每一個越獄新版本的釋出都使人印象深刻,對此,我們應該表示感謝。
已經了解了裝置的越獄是什麼,越獄實作了什麼,以及進行越獄時需要記住的優缺點,接下來,我們來了解越獄的本質。對iphone進行越獄至少有以下幾種方法。第一種方法就是在開機過程中擷取對裝置的控制,最後向裝置推送一個自定義的固件鏡像。這個方法能在一些老款裝置(iphone 3g/3gs/4g、ipod 4g和ipad 1)上使用。第二種方法可以看作是純遠端技術;它将一個檔案加載到裝置中,首先剝奪并擷取使用者态程序的控制權,然後再利用漏洞擷取核心的控制權。使用第二種方法的案例見網站jailbreakme.com,這個網站在近年被用來營運多個遠端越獄。第三種方法是在2012年初期開發用來适應近期更多的一些新産品,如使用ios 5版本的iphone 4s以及ipad 2/3,通常被叫做corona或absinthe越獄。最新的越獄工具叫做evasi0n,它是2013年釋出,用來支援使用ios 6.x版本的iphone 5,ipod 5g,ipad 4以及ipad mini的越獄(感謝evad3r)。
基于開機啟動過程的越獄
首先我們來看看基于開機啟動過程的越獄。用這種技術來對一個裝置進行越獄的所有步驟如下:
1)擷取越獄裝置的ios版本及裝置型号的固件映像(也叫做ipsw)。每一個裝置型号都有一個不同的與之對應的固件映像。例如,同樣使用ios 5.0的iphone 4的固件映像就與ipod 4的固件映像不相同。你必須将特定的裝置型号與正确的固件映像相比對。固件映像被置于蘋果公司的下載下傳伺服器上,通過谷歌搜尋就能找到。例如,如果我們在谷歌上搜尋“iphone 4 firmware 4.3.3”,那麼第二條結果就包括了以下下載下傳位址的連結。
appldnld.apple.com/iphone4/041-1011.20110503.q7fgc/iphone3,1_4.3.3_8j2_restore.ipsw。
這就是在基于ios 4.3.3的iphone 4上進行越獄所需要的ipsw。
這些檔案往往會很大,是以要確定事先下載下傳好。我們建議你在本地儲存一個你工作經常所需的與裝置型号和ios版本的相對應的ipsw的集合。
2)下載下傳你即将要使用的越獄軟體。有很多越獄軟體可供選擇。最流行的一些越獄軟體包括redsn0w、greenpois0n以及limera1n。
本節将使用redsn0w這一工具,你可以從以下連結進行下載下傳:
blog.iphone-dev.org/。
3)用usb資料線将裝置與運作越獄軟體的電腦連接配接。
4)點選越獄按鈕,啟動越獄應用程式,見圖3-1。
5)通過越獄應用的使用者接口,選擇事先下載下傳好的ipsw,見圖3-2。越獄軟體會對ipsw進行自定義,這個過程需要花費一段時間。
6)開啟裝置的“裝置固件更新(dfu)”模式。為了開啟這個模式,得先将裝置關機。之後,同時長按開機鍵和home按鈕10秒。第10秒的時候松開開機鍵,繼續按着home按鈕。繼續長按home按鈕5~10秒,然後松開home鍵。裝置的dfu模式開啟時裝置的螢幕不會亮,是以很難确定裝置是否真的開啟該模式。幸運的是,越獄軟體如redsn0w會在程序中引導使用者,并當裝置轉換到dfu模式時會提醒使用者,見圖3-3。
如果你按上述去做卻遇到了問題,可以在youtube視訊網站上尋求幫助。這個網站上有許多視訊引導使用者操作裝置進入dfu模式。
7)一旦進入到dfu模式,越獄軟體将自動運作越獄程序。這時等待直到越獄程序結束。越獄程序将把固件鏡像加載到裝置中,重新開機之後裝置的螢幕上會有一些文字輸出。重新開機後,按照往常一樣的方式啟動裝置,手機“桌面”上會出現一個令人激動的“圖示”—cydia。cydia見圖3-4。
第二代appletv能按照本節所介紹的類似步驟進行越獄。firecore推出的seas0npass應用經常被用來對第二代appletv進行越獄。
遠端越獄
裝置開機時的越獄是獲得裝置的所有通路權限的必要步驟。然而,其複雜的操作限制了一部分想對自己裝置進行越獄操作的使用者。使用者必須獲得固件鏡像,并将其加載到越獄應用中,然後将裝置轉換到dfu模式。這給技術能力較弱的使用者帶來了挑戰。對于具有更高的技術能力的使用者,雖然這不是一個需要克服的巨大的障礙,但它比遠端越獄更費時費力。遠端越獄的案例見網站jailbreakme.com,這個過程就像在iphone的safari浏覽器中加載一個特别制作的pdf一樣簡單。特制的pdf負責剝奪和使用浏覽器的控制權,然後即可獲得對作業系統的控制,最終為使用者提供不受限制的裝置通路權限。
在2011年7月,ios黑客nicholas allegra(aka comex)通過jailbreakme.com網站釋出了一個針對ios 4.3.3及更早版本的遠端越獄技術的3.0版本。這一款特殊的越獄技術被稱為“jailbreakme 3.0”或簡寫為jbme3.0。使用該技術越獄一個裝置的過程隻需加載一個網站的首頁到mobile safari浏覽器,見圖3-5。在首頁中,使用者隻需點選安裝按鈕,然後轉眼間,裝置就被越獄了。
這種越獄技術最初是非常友善的,但是因為它不支援ios的最新版本如ios 5.x和ios 6.x,是以現在的實用性不高。
corona/absinthe
用corona或absinthe這些越獄工具對ios 5.x裝置進行越獄是一件很簡單的事情。最主要是有一個第四代裝置如iphone 4、ipod 4、ipad1,或運作ios 5.1.1的iphone 4s、ipad 2、ipad 3。你隻需将你的裝置與電腦相連,啟動absinthe應用,點選越獄按鈕,然後等待奇迹的發生,如圖3-6所示。
evasi0n
evasi0n這一越獄工具是2013年釋出的。在将近一年後,evasi0n又使我們可以對基于ios 6.x的裝置(如iphone 5、ipod 5、ipad 4以及ipad mini)進行越獄。evasi0n的使用方法與其他越獄工具類似。連接配接裝置,啟動越獄程序,然後等待完成。有一點小小的不同是在程序運作到三分之二的時候,必須解鎖裝置的螢幕并手動點選圖示來完成越獄。
在圖3-7中可以看到evasi0n應用的界面。你隻需點選越獄按鈕便能開始進行越獄。
如圖3-8所示,evasi0n将提示使用者解鎖裝置并點選新的越獄圖示(隻需點選一次)。
圖3-9展示了你需點選的越獄圖示。點選一次就使越獄程序繼續進行。
最後,圖3-10展示了越獄成功時的evasi0n應用界面。這個時候你能解鎖裝置并找到可愛的cydia圖示。