【iOS 安全相关】

本文摘自 看雪【iOS 安全】版主 zhuliang

iOS 设备(如:iPhone、iPad、iPod、AppleTV 等)中运行的程序,最终会被编译成机器语言在CPU中执行。

iOS 安全研究是建立在以ARM 为架构的汇编语言基础上的。

iOS 内核玩的就是 BSD 内核。

ARM 汇编:

1> ARM 体系结构与编程 杜春雷

2> ARM Architecture Reference Manual Extracts Including instruction set descriptions

高级语言:

1> Objective-C for iPhone Developers A Beginner's Guide (McGraw-Hill 2010.5)

2> Learning Objective C 2.0 (Addison Wesley 2010.07)

嵌入式硬件相关:

Openiboot 的源代码(https://github.com/iDroid-Project/openiBoot )

DDR、Nor Flash、Nand Flash、LCD、UART、I2C、SPI 等接线、时序、如何读写。在ARM 开发板上移植编译运行 uC/OS2 。

Unix 基本知识:

查找文件、建立、删除目录、用户管理等等。

iOS 下的调试工具是gdb,不管用户态还是内核态的。

参考资料:  gdb quick reference

iOS 设备买A4 以前的CPU,否则调试不了内核的。

iOS SDK 编程:

Beginning iOS5 Development Exploring the iOS SDK David Mark Jack Nutting Jeff LaMarche

Programming iOS4 Matt Neuburg

=========================    分 割 线       ==================================

1> iOS 系统启动过程

2> iOS 的固件结构概述和解压解密分析

3> Bootrom 的提取(dump)及所用的代码分析

4> iBoot 解密和加载内核功能的分析

5> iOS 应用程序的编写

6> iOS 应用程序的调试与分析

7> iOS 应用程序的注入与hook 实例

=========================    分 割 线       ==================================

1> 如何进行iOS 内核调试(见下面)。

2> 在Mac 上编译xnu for Mac 内核

       学习Linux 内核是从编译Linux 内核开始的,由于iOS 内核和 Mac 上的OS X 内核具有相似性(均采用XNU 的内核),研究iOS 内核,可以从编译XNU 内核开始。编译好后可以通过对比Mac OS  X 的内核来学习iOS  内核。 

3> limeraln 漏洞原理分析

4> 绿毒代码分析之 cyanide 代码分析

5> 绿毒代码分析之 syringe 代码分析

6> 如何调用aes gid 引擎获取iOS 固件的解密key

=========================    分 割 线       ==================================

公开的漏洞分析、越狱的实现原理、iOS 内核分析如系统调用、中断处理、内存管理等功能。

1> JailBreakMe3.0 漏洞(用户态)分析

2> JailBreakMe3.0 漏洞(内核态)分析

3> iOS 系统从用户态进入内核态及返回(系统调用)的分析

4> iOS 如何利用ARM 的 MMU 进行地址映射

5> 如何在内核态运行自定义代码(如hook)---- data 代码分析

6> 如何在内核态运行自定义代码(如hook)---- white 代码分析

=========================    分 割 线       ==================================

如何调试iOS内核

 

iOS是用XNU内核,XNU for mac的代码可以从苹果官方下载到,当然不是最新版的。XNU内核有既相互独立又相互交互的三个组件构成,这三个组件是:Mach、BSD、IOKit。
首先,是硬件与软件的准备。
硬件方面,一台越狱的设备是必需的,建议用iPhone4(注iPad2或iPhone4S由于采用的是苹果A5的cpu,它的bootrom目前还没有公开漏洞,不能用红雪设置引导参数,不能使用它来调试)。内核调试数据线,该数据线含有USB转串口的电路,可以参考文献1来自己焊接,本人制作好的调试线如下图,限于篇幅这里不对如何制作调试线展开讨论。一台电脑,可为台式机或笔记本,mac更佳。

【iOS 安全相关】_第1张图片

软件方面,虚拟机VMware,mac操作系统比如Lion,XCode等。
其次,是环境的搭建。
Mac环境,由于iOS的内核调试要在mac操作系统平台下进行,所以首先要搭建mac环境,最好用真实的mac机,也可用虚拟机,本文为方便没有mac的朋友,以虚拟机为例进行讲述,用真实mac机的朋友可根据具体的情况随机应变。具体步骤如下,先在电脑上装虚拟机(如VMware)软件,然后在虚拟机里面装mac操作系统(比如Lion),装好mac系统后下载XCode并装上。如果觉得这样太麻烦的话,可直接从电驴下载装好Lion的虚拟机。
有了mac环境后,在mac操作系统里装好USB转串口芯片的驱动程序(可从http://www.ftdichip.com/Drivers/VCP.htm下载),装好驱动后就可用ls /dev/tty.usb*来看一下有没有把串口识别出来。识别出来后如下面的图所示。然后下载本文附带的SerialKDPProxy程序源代码SerialKDPProxy_m.rar(该源码是由Albert_liuwei从参考文献1提供的SerialKDPProxy修改而来,特此声明),并make一下,你懂的。将得到的SerialKDPProxy文件cp到/bin下,这样不用每次都要切换到这个目录下才能执行。

【iOS 安全相关】_第2张图片

最后,搭建好了环境后就可以进行调试了,主要有三个步骤:
一是运行串口代理程序,用下面的命令行。
SerialKDPProxy /dev/tty.usbserial-A900c0xb
这里的tty.usbserial-A900c0xb要替换为在你的系统上具体的设备名,上文ls /dev/tty.usb*的结果。
二是用红雪设置引导参数。该步骤可以在物理主机Windows系统下面进行,因为命令行涉及到一个几百M的文件,复制到虚拟机里比较麻烦。可以在Win下用下面的命令行。
redsn0w.exe -i "D:\Apple\iPhone3,1_4.3.3_8J2_Restore.ipsw" -j -a "-v debug=0x09"
该命令输入完毕回车后,红雪会让你按它的提示进入dfu模式。进入dfu后稍等一下,会看到小菠萝人在手机屏幕上。看不到的话,可能是进入dfu模式出错。
接下来切换到mac环境工作,进入虚拟机环境之前要确认USB转串口的设备前点的钩已钩上。如下图:

【iOS 安全相关】_第3张图片

三是用gdb调试ios内核。所用的命令行参数如下:

【iOS 安全相关】_第4张图片

gdb -arch armv7 (gdb) target remote-kdp (gdb) attach 127.0.0.1
在win下面。串口从设备管理器里看出来是COM8.代理程序用这个命令行:./SerialKDPProxy.exe /dev/com8 
启动gdb的命令是 ./arm-apple-darwin-gdb.exe
其它的都是和se的ppt像一样。
至于具体怎么调试,熟悉linux下用gdb进行调试的朋友能相当熟练地调试,也可以参考本人的另一文章《iOS如何利用ARM的MMU进行地址映射》。

最后
感谢DarkMage(dm557),Windknown,Daniel,Albert_liuwei,cd-team及各位朋友!

 

参考文献:
1.  SysScan-Singapore-Targeting_The_IOS_Kernel.pdf(可输入google找到)
2.  http://www.cd-team.org/wp-content/uploads/2011/09/PWN你的iOS设备_New.ppt

=========================    分 割 线       ==================================

2012 年 6月 4日,苹果出示了一份文件,详细描述了iOS 内部安全规格。

从iOS设备的架构考虑,理解内建安全功能如何运作以提供一个安全的移动平台,这是有必要的。iPhone、iPad、iPod Touch建有多个安全层。低级的硬件和固件功能保护可以防止恶意软件和病毒,高级的OS功能可以确保个人信息、企业数据安全,防止未授权使用,协助阻止攻击。iOS安全模式在保护信息的同时,也支持移动使用、支持第三方程序、支持同步。系统大部分是基于产业标准安全设计原理开发的,许多时候,苹果还增加了设计,在不牺牲使用性的前提上强化安全。这份文件提供了安全技术的细节,也介绍了iOS平台内部功能的执行。

如果用户如苹果预期一样使用iPhone,从App Store获得程序。而程序商店的程序是经过审查的,它没有包括恶意代码。因此,恶意代码没法在任何一款设备上出现,也就没有必要使用反病毒软件了。

【iOS 安全相关】_第5张图片

苹果不需要iOS反病毒程序,因为它没有给病毒留下空间(包括木马、恶意软件等),这些病毒没法进入系统。

在Android平台上曾出现过病毒,它的下载安全也比苹果低些。不过,如果要说苹果100%安全也不见得。它还忽略一点:并非所有程序都是从程序商店下载的,还有越狱机。

比起其它平台,iOS受到攻击的可能性小很多。但随着用户量增大,如果达10亿,“不太可能”就不一定代表“不会”了。

=========================    分 割 线       ==================================

 

2013-02-07 16:44

走进Evasi0n,越狱黑客如何拿到iOS权限

 Evad3rs团队成员David Wang接受了福布斯的采访,为我们讲述了整个iOS6的破解历程。他指出这次破解iOS6至少了利用了5个不同的漏洞。国外许多媒体都用了这样一句话来形容他们的工作:incredible work(难以置信的工作)下面就给大家详细的分析Evad3rs如何一步步夺取iOS内核权限的。

苹果一直在控制着用户手中的iOS设备,你将一部iPhone购买回家,但是却发现很多事情你不能做主。你不能随便安装第三方应用,不能随意修改桌面设置。让人感觉,更像是从苹果租用硬件。

2013年2月4日,一个自称是evad3rs的黑客团队,在其网站evasi0n上,第一次提供了iOS6的完美越狱,它为iPhone5、iPad3、iPad mini和其他iOS设备提供了目前最先进的iOS6.1完美越狱程序,允许用户从他们的手机、平板电脑中解除掉苹果加持的各种限制机制。截止目前evasi0n完美越狱工具已有200万iOS用户下载,这足以看出全球用户对于越狱的热情。用户可以安装自定义主题,安装第三方输入法,安装Cydia商店中的MyWi热点工具。可以说,这次的完美越狱工具的开发几乎是个奇迹,因为这次的iOS系统破解远比以往任何时候都要困难。

难以置信的工作

在iOS6 GM发布之后,就有不少越狱团队第一时间尝试进行越狱。此后iOS6正式版放出,绿毒团队的领头人p0sixninja标示,iOS6的防护级别高的令人不可思议,其操作系统的严密性超过了以往任何一款OS。因此越狱的难度是前所未有的。但最后他还是放口:黑客不会被任何框架所束缚。

小插曲:去年12月,随着全球都在“欢度”世界末日的到来。越狱黑客Dream JB表示他会在12月22日放出iOS 6的完美越狱工具。但是到了22日那天,大家才发现他只是和我们开了一个末日玩笑。

越狱梦之队:evad3rs

为了达成iOS6完美越狱这个任务,1月25日(大洪水退去人们下船的日子),原Dev Team成员、越狱黑客pod2g在Twitter上宣布:与红雪团队的MuscleNerd(肌肉男)、Chronic-Dev(绿毒)团队的pimskeks、planetbeing组成了一个新团队——evad3rs。(@pimskeks @planetbeing @pod2g @MuscleNerd)

随即evasi0n.com官网上线。每一天,整个团队都会向外界公布越狱的最新进度:68%、85%、91%……整个iOS6完美越狱工具的开发过程仅用了10天时间。国外许多媒体都用了这样一句话来形容他们的工作:incredible work(难以置信的工作)

@planetbeing真名是Yiduo David Wang,来自俄勒冈的波特兰,是Evad3rs四人团队的一员。他近日接受了福布斯的采访,为我们讲述了整个iOS6的破解历程。他指出这次破解iOS6至少了利用了5个不同的漏洞。据悉,这次他们使用的手法,比Stuxnet更黑!(Stuxnet蠕虫是摧毁伊朗和浓缩离心机设施的那个著名病毒)下面宁哥就给大家详细的分析Evad3rs如何一步步夺取内核权限。

如何破解iOS 6 

最初,Evad3rs使用libimobiledevice来代替iTunes,连接到电脑上。它与iTunes一样使用了相同的设备连接协议。libimobiledevice又称libiphone,是一个开源包,可以让Linux支持连接iPhone/iPod Touch等iOS设备。由于苹果官方并不支持Linux系统,但是Linux上的高手绝对不能忍受因为要连接iOS设备就换用操作系统这个事儿。因此就有人逆向出iOS设备与Windows/Mac Host接口的通讯协议,最终成就了横跨三大桌面平台的非官方版本USB接口library。经常用Linux系统的人一定对libimobiledevice不陌生,但是许多Windows和Mac用户也许就不知道了。事实上,它同iTools一样,都是可以替代iTunes,进行iOS设备管理的工具。因为源码是开放的,可以自行编译,所以对很多开发者而言可以说更为实用。

话说回来Evasi0n利用了iOS系统的一个备份bug获得了几项原来无权访问的设置。如,设置设备时区的权限。正是拿到了这个时区设置文件的权限,Evasi0n在该文件中可以插入一条,Symbolic Link符号连接(又称软连接)。这样就将操作系统中的访问求情转移到了其他指定的位置,由此也就能将越狱程序通过Symbolic Link连接到时区设置文件上。

感谢Symbolic Link这个好东西

Symbolic Link相当于Win下的"快捷方式"。Unix文件系统提供了一种将不同文件链接至同一个文件的机制,我们称这种机制为链接。它可以使得单个程序对同一文件使用不同的名字。这样的好处是文件系统只存在一个文件的副本,系统简单地通过在目录中建立一个新的登记项来实现这种连接。软连接有自己的inode,并在磁盘上有一小片空间存放路径名。因此,软链接能够跨文件系统,也可以和目录链接。另外,软链接可以对一个不存在的文件名进行链接,但直到这个名字对应的文件被创建后,才能打开其链接。

David Wang 把它比喻成“莫斯科红色专线”。通过Symbolic Link,可以将连接转到某个特定的socket中,让不同程序之间可以互通信息。整个iOS系统中的Launch Daemon后台进程的启动程序都存放在"/System/Library/LaunchDaemon"目录下, 就是那些".plist"文件。这些程序会在设备启动时率先启动,所以他们具备root权限,可以启动其他应用。Evasi0n修改了Launch Daemon的socket,这就意味着,当iOS设备进行备份时,就会自动的让所有程序和文件都能访问时区设置文件,感谢Symbolic Link这个好东西,让所有程序可以连接Launch Daemon。

这里需要提一句为什么苹果的启动服务叫做“Launch Daemon”?从Mac OS 10.4开始,苹果就采用Launch来管理整个操作系统的services和processes了。传统的Unix会使用“/etc/rc.*”或者其他机制来管理要启动的startup services,而此后在Mac OS X则使用Launch来管理,其startup services被叫做Launch Daemon和Launch Agents。前者是开机时载入,而后者是用户登录时载入的。

如何绕过Code-signing

在iOS中,还有另一个安全保障——Code-signing。它能够阻止流氓应用访问Launch。在iOS设备上运行的代码都需要通过苹果的审核,并附带上有效的签名。一般开发者开发的程序,在正式发布到App Store之前是需要使用苹果颁发的证书进行签名的之后,再由苹果进行审核。审核成功之后,苹果也会对程序进行一次签名。当iPhone或者iPod Touch从AppStore下载安装程序的时候会调用系统进程INSTALLD(mobileinstalltion)对应用程序进行证书校验。所以一般需要安装破解软件时,都需要把此文件替换成破解版本。

如果你的MobileInstalltion没有破解的话,那么在安装或者运行程序的时候需要对你的数字证书进行检测,如果发现没有签名或者签名不对,就会自动kill掉程序。那么在这种情形下,我们可以伪造签名(当然无法通过AppStore的审核), 骗过MobileInstalltion ,使得可以正常使用。

Evasi0n构建了一枚没有代码的应用,当用户点击这个应用的时候,它就会利用Unix的“Shebang”命令,调用一个已经签名的应用代码,通过Code-signing的审查。此后,它就可以再调用上文提到的Launch执行root级的命令了。Evad3rs要通过这种方式,来对RFS(root文件系统)的只读权限使用“remount”命令变为可写。这就是为什么,我们在越狱时,要运行一次下面这个LOGO的应用。

什么是Shebang

在计算机科学中,Shebang(也称为Hashbang)是一个由井号和叹号构成的字符串行(#!),其出现在文本文件的第一行的前两个字符。 在文件中存在Shebang的情况下,类Unix操作系统的程序载入器会分析Shebang后的内容,将这些内容作为解释器指令,并调用该指令,并将载有Shebang的文件路径作为该解释器的参数。Shebang这一语法特性由#!开头,即井号和叹号。 在开头字符之后,可以有一个或数个空白字符,后接解释器的绝对路径,用于调用解释器。 在直接调用脚本时,调用者会利用Shebang提供的信息调用相应的解释器,从而使得脚本文件的调用方式与普通的可执行文件类似。

修改launchd.conf文件 

现在RFS已经可写了,Evasi0n接下来就是先修改launchd.conf文件,当修改了launch配置文件之后,前面的工作就可以保存下来了。这样每次iOS设备重启的时候,就不必再连上USB进行越狱操作了。之前,很多iOS系统不完美越狱就是因为没有拿到修改launchd.conf的权限。造成每次重新开机都要再越狱一次,很麻烦。

破解AMFID防护机制

对于黑客来说,没有夺取到kernel(内核)权限,都不算作真正把系统征服。在iOS的系统内核中,还有一层叫做AMFID(Apple Mobile File Integrity Daemon)的防护机制,它是用来监测移动文件完整性的守护进程。AMFID会校验代码签名,防止流氓程序运行。Evasi0n利用launchd.conf文件,为AMFID加载一个library,让每次AMFID在做校验的时候,都会返回一个“approved”的肯定回答。David Wang在福布斯记者的采访中,并没有给出具体的破解方法,只是留下一句话:苹果自己应该明白这一点。

异常向量,萃取内核地址

除了内核级的应用签名之外,苹果为了防止黑客在内核级的内存中随意修改,iOS还有最后一道那就是ASLR(Address Space Layout Randomization)随机地址空间布局。当系统加载时,ASLR都会将他们随机分配到内存的不同位置,防止某些内容总是存储在内存的特定部分,让黑客有规律可寻。

聪明的Evad3rs团队,使用了ARM exception vector(异常处理向量)。exception vector其实经常会用到,处理器异常、出错时(其实不完全是出错),它就会抓来这个vector找相应的处理函数。例如,遇到看不懂的指令,它就会抓0x4地址指令。也就是“ldr pc, _undefined_instruction”,接着就会跳到undefined instruction的函数去处理。当程序出现异常时,ARM异常向量就会给出崩溃的内存地址,黑客拿到足够多的信息,就可以找到内核在内存的分布范围,这样整个内核的内容也就被抓到了。

夺取内核控制权

搞定ASLR之后,Evad3rs利用iOS连接USB的一个漏洞,把内核内存的某个地址传给一个应用,而应用返回来的内容就可以用来改写这部分内存地址。由此Evad3rs就可以修改内核任何部分的内容了。据Wang所说,当你拿到了内核的权限时,整个系统就没有任何“安全机制”能阻止我们了,我们赢了!


2013-2-7 最新更新:

Pod2g在Twitter上称,evasi0n网站目前独立IP访问量超过500万,PV突破了4000万,而在整个用户群中,中国用户的数量最大。有近300万的中国用户访问了evasi0n网站,占总访问量的20.12%。美国用户比例为16.88%,将近250万用户。其次是法国、德国、意大利、英国、俄罗斯等地区的用户。

=====================================================================

2013-03-20 09:53

苹果发布iOS 6.1.3 封杀evasi0n越狱所用漏洞

今日凌晨,苹果正式发布了iOS 6.1.3,对锁屏漏洞进行了修复、升级了地图、同时封堵了evasi0n越狱工具所用的部分漏洞。

今日凌晨,苹果正式发布了iOS 6.1.3,对几周前爆出的锁屏漏洞进行了修复。本次发布的iOS 6.1.3主要是为了改善日本地区的地图服务,同时还对越狱所需的漏洞进行了封堵。

之前Evad3rs曾表示iOS 6.1.3 至少会修复一个evasi0n 越狱所使用的漏洞,正式版发布之后,已确认修复了越狱所用的6个中的4个,并将漏洞发现“归功于”Evad3rs。




 

 

 

=========================    分 割 线       ==================================

iOS 是由苹果公司开发的手持设备操作系统。

苹果公司最早于 2007 年 1月 9日 的Macworld 大会上公布这个系统,最初是设计给iPhone 使用的,后来陆续套用到iPod touch、iPad 以及 Apple TV 等苹果产品上。

iOS 与苹果的Mac OS X 操作系统一样,它也是以Darwin 为基础的,因此同样属于类Unix 的商品操作系统。原来这个系统名为iPhone OS,直到 2010 年 6月 7 日 WWDC 大会上宣布改名为iOS。

截止至2011年11月,根据Canalys的数据显示,iOS已经占据了全球智能手机系统市场份额的30%,在美国的市场占有率为43%。

Objective-C是iOS的开发语言。Objective-C是C语言的升级版。

 

学时:4个月,共258学时(其中理论学时:59,实践学时:70,实战实操学时:120)

【iOS 安全相关】_第6张图片

【iOS 安全相关】_第7张图片

【iOS 安全相关】_第8张图片

 




你可能感兴趣的:(【iOS】)