Рецоммендед, 2020

Избор Уредника

Ево како еваси0н затвор бјежи

Екипа евад3рс пустила је еваси0н близу недељу дана раније. Сада када смо сви прекинули своје иОС уређаје и инсталирали најбоље подешавања, погледајмо како невероватно једноставан извана, а опет невероватно компликован на унутрашњој страни еваси0н јаилбреак-а.

Док Аппле јача сигурност у иОС-у, хакери више не могу једноставно наћи само један подвиг као и ранијих дана и користити га да би добили роот приступ неком уређају. еваси0н је комбинација пет различитих грешака, од којих је већина безопасна појединачно, али заједно довољно способна за пуцање отвореног иОС-а.

еваси0н започиње експлоатацијом у иОС-овом иТунес резервном систему, званом демон "МобилеБацкуп". То чини покретањем „либмобиледевице“ програма на ПЦ-у / Мац који комуницира са иОС уређајима користећи иТунес протокол.

еваси0н враћа сигурносну копију која садржи неколико датотека потребних за бјекство из затвора. Будући да МобилеБацкуп не може да похрањује датотеке изван /var/Mobile/Media, еваси0н ради око тога стварајући „симлинк“ или пречицу у /var/Mobile/Media под називом .хакк који упућује на /var/Media . МобилеБацкуп сада може да пише датотеке у /var/mobile преко. Копиране датотеке заједно чине апликацију за коју вам је речено да се покрене усред процеса затвора.

Користећи трик симбола, еваси0н такође добија приступ датотеци временске зоне која се поново повезује да би се лансирала, даемон који покреће процесе са привилегијима „роот“. Приступ покретању је сада искоришћен, а датотека временске зоне доступна је свим корисницима (не само роот-у) променом његових дозвола. Сличан трик се користи да би соцкет који управља комуникацијама између покретања и других процеса био доступан мобилном кориснику, под којим се покрећу све апликације на иОС-у.

Сада је речено да корисник покрене апликацију која је копирана у иОС датотечни систем у претходном кораку. Ова апликација, помоћу изложене утичнице за покретање, чини системску партицију која је само за читање.

Сада када је системска партиција постала уписива, еваси0н поново покреће МобилеБацкуп и пише гомилу датотека, од којих је једна стартд.цонф која садржи гомилу наредби које чине искориштавање. Ова се датотека покреће приликом покретања сваки пут, што чини бјекство из затвора трајно.

Једна од наредби у лаунцхд.цонф одговорна је за избјегавање провјере потписивања кода за провјеру АпплеМобилеФилеИнтегрити учитавањем динамичке библиотеке која замјењује уграђену функцију провјере с оном која увијек враћа труе.

еваси0н такође има још једну блокаду пута пред собом - Рандомизација распореда адресе, или АСЛР, која уноси случајност у адресе флеш меморије, што отежава предвиђање. Међутим, још увек постоји локација на АРМ чиповима коју је лако пронаћи, па се помоћу овог еваси0н може пресликати целокупна меморија. Одавде, еваси0н, искориштавајући грешку у иОС-овом УСБ интерфејсу, коначно улази у кернел уређаја, где се све отвара.

Виа: Форбес, Ацувант Лабс


Top