记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

rootless越狱和传统越狱的对比研究

2019-03-03 12:20

新一代的越狱方法已经普及开来,它就是rootless越狱,该方法适用于iOS 11和iOS 12(包括iOS 12.1.2),与传统越狱相比,rootless越狱具备了更多的优势。本文我会详细向你介绍rootless越狱与传统越狱的不同,为什么它们更适合取证工作,以及利用该越狱方法取证后所留下了的痕迹。

权限升级

如果你关注我们的博客,你可能已经看过关于iOS越狱的文章,这些文章分别是:

1.iOS 12设备的物理提取和文件系统映像

2.使用iOS 11.2-11.3.1 Electra Jailbreak进行iPhone物理采集

3.iPhone物理采集:iOS 11.4和11.4.1

从iPhone 5s开始,Apple首次采用64位SoC和Secure Enclave来保护设备数据,至此,“物理采集”一词的含义就和原来不一样了。在早期(32位)设备中,物理采集表示的是创建用户加密数据分区的bit-precise映像。通过提取加密密钥,执行物理获取的工具能够解密数据分区的内容。

在苹果使用了Secure Enclave后,对于64位iOS设备来说,物理采集意味着文件系统映像,与获取数据分区相比,是一种更高级别的进程。此外,可以在获取过程中获取和提取iOS钥匙串。

对文件系统的低级访问需要提升权限,这具体取决于你使用的工具或服务,可以通过直接利用iOS中的漏洞来绕过系统的安全措施来执行权限提升,这就是GrayKey等工具和Cellebrite等服务所做的。如果你选择这种方法,你就无法控制使用的漏洞。在提取过程中,你无法确切知道设备上哪些数据正在被修改,以及提取后会留下什么样的痕迹。

在iOS Forensic Toolkit中,我们使用的是公共越狱来绕过iOS安全措施。与使用漏洞绕过不同,使用公共越狱也有其优点和缺点。显而易见的好处是整个解决方案的成本较低,另一方面,传统的越狱会留下太多的痕迹,破坏文件系统映像。传统越狱必须禁用签名检查以允许运行未签名的代码。一个传统的越狱案例就是使用Cydia,这是一个第三方应用程序商店,需要额外的开发程序才能在越狱设备上运行。换句话说,传统越狱如Electra,Meridian或unc0ver越狱痕迹太明显,很多功能都是冗余的。

传统越狱还有另一个问题,为了获得超级用户权限,这些越狱会重新安装文件系统并修改系统分区。即使在你删除越狱后进行提取,你正在调查的设备将永远不会相同,因为它可能会也可能不会采用OTA iOS更新,并且在运行中可能(经常会)变得不稳定。通常需要通过iTunes进行完整的系统还原,然后进行工厂模式重置,才能使设备恢复正常。

rootless越狱

随着传统越狱的缺点越来越多,取证人员逐渐研发出了rootless越狱。与传统越狱相比,rootless越狱的大小要小得多。在提供文件系统提取所需的所有内容(包括SSH shell)时,它们不会捆绑不需要的额外内容,例如Cydia商店。最重要的是,rootless越狱不会改变系统分区的内容,这使得取证专家可以删除越狱并将系统返回到越狱前的状态。与使用传统越狱相比,所有这些都使得rootless越狱更加受到人们的青睐。

那么rootles越狱与传统越狱到底有何不同?让我们仔细看看。

越狱的一个常见定义是“为了解除苹果强加的软件限制而进行的特权升级”。此外,“越狱允许root访问” ,root访问意味着能够读取和写入文件系统的根目录。完全越狱授予对“/”的访问权限,以便用户能够在绕过Apple限制的同时运行未签名的软件包。访问文件系统的根目录需要文件系统重新安装,然后越狱会将一些文件写入系统分区,从而修改设备并有效地破坏OTA功能。

为什么传统越狱需要在系统分区上进行写入操作呢?这是因为,kppless越狱无法在用户分区中执行二进制文件,这种越狱因“不允许操作”而出错。显然,从App Store安装的应用程序位于用户分区上,可以毫无问题的运行,但前提是要运行未签名的二进制文件。实现此任务的最快方式是将二进制文件放入系统分区并从那里开始越狱。

而rootless越狱呢? Rootless并不意味着没有root,这意味着该方法没有能力在root分区中写入(redmondpie )。顾名思义,rootless越狱不授予对文件系统根目录(“/”)的访问权限。提供访问的最低级别是/ var目录。这被认为是更安全的取证方法,因为没有任何东西可以修改或更改系统文件以导致无法修复的损坏。

rootless越狱的安全性

这是一个我们经常被问的问题,如果你阅读了iOS 12设备的物理提取和文件系统映像一文,你可以看到安装rootless越狱涉及使用第三方网站。这意味着,将正在进行取证的iPhone暴露在互联网连接中可能会有风险,尤其是如果你没有权限让苹果阻止所有通过Find My iPhone服务发起的远程锁定或远程擦除请求的话,风险会更大,我们目前正在研究离线安装越狱的可能性。

如果你需要确保安装过程的完全透明,可以通过源代码编译自己的IPA文件:https://github.com/jakeajames/rootlessJB3

然后,你必须签署IPA文件并将其加载到你要提取的iOS设备上,此时设备仍需要通过连接到Apple服务器来验证证书的有效性。

有关rootless越狱发展的更多信息,请参阅文章《如何在没有文件系统重新安装为r/w的情况下越狱

rootless越狱后,数据如何提取?

根据rootless越狱中的源代码,我们可以分析设备上确切修改的数据。至少,rootless越狱修改设备上的以下数据:

· /var/containers/Bundle/Application/rootlessJB:越狱本身

· /var/containers/Bundle/iosbinpack64:其他二进制文件和实用程序

· /var/containers/Bundle/iosbinpack64/LaunchDaemons:启动守护进程;

· /var/containers/Bundle/tweaksupport:文件系统模拟,其中安装了调整和其他内容;

· 符号链接包括:/var/LIB、/var/ulb、/var/bin、/var/sbin、/var/Apps、/var/libexec

此外,我们可在各种系统日志中看到一些越狱的痕迹。对于任何越狱的提取方法来说,留下越狱痕迹是不可避免的,只是多少的问题。而完全避免iOS系统日志中越狱痕迹的唯一方法是通过DFU对设备进行映像,然后解密数据分区,但这在任何现代iOS设备上都是不可能实现的。

总结

rootless越狱允许我们在运行iOS 12.0到12.1.2的所有iOS版本的Apple设备上镜像文件系统的基础,从本质上说,rootless越狱满足了取证专家所需要的一切要求。rootless越狱允许访问/ var而不是/,这使得它更安全,更容易被删除。一言以蔽之,rootless越狱更接近于无痕提取。

本文翻译自:https://blog.elcomsoft.com/2019/02/ios-12-rootless-jailbreak/如若转载,请注明原文地址: http://www.hackdig.com/03/hack-54465.htm
知识来源: https://www.4hou.com/web/16419.html

阅读:57179 | 评论:1 | 标签:Web安全 rootless越狱

想收藏或者和大家分享这篇好文章→复制链接地址

“rootless越狱和传统越狱的对比研究”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词