Tady je Jak evasi0n útěk z vězení

Tým evad3rs vydal evasi0n téměř týden zpět. Nyní, když jsme všichni jailbroken naše iOS zařízení a nainstalovali nejlepší vylepšení, pojďme se podívat na to, jak neuvěřitelně jednoduchý na vnější, ale neuvěřitelně komplikované na vnitřní evasi0n útěk z vězení.

Protože společnost Apple posiluje zabezpečení v systému iOS, hackeři již nemohou jednoduše najít jediný exploit jako dřívější dny a použít jej k získání přístupu root k zařízení. evasi0n je kombinací pěti různých bugů, z nichž většina je neškodná jednotlivě, ale společně schopná natolik, aby praskla otevřená iOS.

evasi0n začíná využíváním v zálohovacím systému iTunes pro iOS, který se nazývá démon „MobileBackup“. To se provádí spuštěním programu „libmobiledevice“, programu na vašem PC / Mac, který komunikuje se zařízeními iOS pomocí protokolu iTunes.

Evasi0n obnoví zálohu, která obsahuje několik souborů potřebných pro útěk z vězení. Protože MobileBackup nemůže ukládat soubory mimo /var/Mobile/Media, evasi0n to obchází vytvořením „symlink“ nebo zkratky v /var/Mobile/Media názvem .haxx, která ukazuje na /var/Media . MobileBackup je nyní schopen zapisovat soubory do /var/mobile přes .haxx symbolický odkaz. Zkopírované soubory společně vytvářejí aplikaci, kterou jste vyzváni ke spuštění uprostřed procesu útěku z vězení.

Pomocí triku symlink získá evasi0n také přístup k souboru časových pásem, který je opět symlinked, aby ukazoval na launchd, démona, který spouští procesy s oprávněními root. Přístup ke launchd je nyní využíván a soubor časového pásma je zpřístupněn všem uživatelům (nejen root) změnou jeho oprávnění. Podobný trik se používá k tomu, aby soket, který zpracovává komunikaci mezi launchd a jinými procesy, byl přístupný pro mobilní uživatele, pod kterým jsou spuštěny všechny aplikace na iOS.

Nyní je uživateli řečeno, aby spustil aplikaci, která byla zkopírována do souborového systému iOS v předchozím kroku. Tato aplikace, pomocí odkryté spouštěcí soketu, zapisuje systémový oddíl jen pro čtení.

Nyní, když se systémový oddíl stal zapisovatelným, evasi0n znovu spustí MobileBackup a zapíše spoustu souborů, z nichž jeden je launchd.conf, který obsahuje spoustu příkazů představujících exploit. Tento soubor se spouští pokaždé, když je útěk z vězení trvalý.

Jeden z příkazů v launchd.conf je zodpovědný za vyhýbání se kontrole podpisového kódu kontrolního kódu AppleMobileFileIntegrity načtením dynamické knihovny, která nahradí vestavěnou kontrolní funkci tím, který vždy vrátí true.

evasi0n má před sebou ještě další blokování - Randomizaci rozložení adresového prostoru nebo ASLR, která zavádí náhodnost do adres paměti flash, což ztěžuje předvídání. Na čipech ARM však stále existuje místo, které lze snadno najít, a pomocí této evasi0n můžete mapovat celou paměť. Odtud se evasi0n, využívající chybu v rozhraní USB iOS, konečně dostane do jádra zařízení, kde se vše otevře.

Via: Forbes, Acuvant Labs



Populární Příspěvky