技宅空格 11-12
是它!iOS 神级越狱工具,它来了!
index_new4.html
../../../zaker_core/zaker_tpl_static/wap/tpl_keji1.html

 

点击上方的「技宅空格」可以快速关注我们

全文 3000+ 字,阅读预计耗时 8   分钟

在 10 月 1 日,笔者在推文中向大家介绍了一个 iOS 上的史诗级漏洞 —— checkm8。这个漏洞在当时是震惊了整个越狱圈,因为这个漏洞是「前无古人」的全新漏洞,它不单单会对 iOS 的安全性带来威胁、能够让设备越狱,最要命的是,这个漏洞之所以称为史诗级,是因为苹果根本拿这个漏洞没有办法。

checkm8 由国外黑客 axi0mX 发现并公开,这个漏洞的发现源起于苹果在 iOS 12 的一个 Beta 版本中对 iBoot 打的补丁,通过对这个补丁进行逆向、挖掘,并且结合之前网络上已有的各种逆向工程以及意外泄出的源码,他最终挖掘出了这个堪称是「史诗级」的安全漏洞。

这个漏洞之所以被称为「史诗级」,是因为它出现在设备的 BootROM(或者称 Secure ROM)上。BootROM 是一段非常特殊的程序,它并非和 iOS 一样存放在设备的闪存中,而是在设备出厂的时候被直接烧进了一块不可写的存储器中。

(图片来源于知道创宇的 404 Team)

在苹果设计的系统启动流程中,BootROM 是在第一位的,它负责检查、加载 iOS 的引导程序,即启动流程中排在第二位程序 —— iBoot,之后 iBoot 负责加载 iOS 的内核,内核再加载 iOS 的界面和各种组件。

在这样一套流程中,BootROM 的角色非常重要,作为排在第一位启动的程序,它可以说是整个 iOS 的安全基石。如果 BootROM 变得不可信、不安全,那么在它之后加载的所有程序也将变得不可信、不安全。

换言之,只要 BootROM 被攻破,能够执行自定义的代码,那么后续的启动的所有程序都是可篡改的,即使苹果在 iOS 中做了相当到位的安全防护,由于提供安全基础的 BootROM 已经不安全了,所以 iOS 也就自然无安全可言。

苹果之所以把 BootROM 烧录在一个不可写的存储器上,就是为了防止其他人对 BootROM 进行篡改,从而破坏 iOS 的安全性。除了这种物理上的保护,在软件的流程上苹果也做得非常谨慎,BootROM 仅在系统启动的时候才会解锁、允许读取,一旦程序执行结束,BootROM 就会自己锁上,之后的程序再也没有办法读取它。

这种读写上的封杀让黑客攻击 BootROM 变得难上加难,黑客想要接近它、提取它都要花非常大的功夫。

但是程序毕竟是人写的,即使是在这种科技巨头编写出来的 BootROM 上,其程序也难免会存在一些疏漏,在 checkm8 中,这个疏漏存在于 DFU(即 iOS 的恢复模式)上。

在 DFU 模式下,配合 axi0mX 放出的 ipwndfu,我们不但可以提取出 BootROM,我们还可以利用 axi0mX 精心构造的利用代码在 BootROM 中执行任意代码。

这意味着在这个漏洞放出之后,所有搭载 A5(iPhone 4S)  - A11(iPhone X)芯片的 iOS 设备都可以通过这个漏洞实现任意的降级、越狱,如果有配套固件支持的话,iPhone 甚至可以刷入 Android。

以往 iOS 出现什么越狱漏洞,苹果只需要放出一个系统更新就能够轻松修补掉,但是这一次由于漏洞出现在了不可写的 BootROM 上,苹果没有任何办法去更改、修补这段已经写死、固化的程序,所以面对 checkm8,苹果是束手无策。

苹果在当年绝对不可能想到,自己对 BootROM 做的保护最后会让自己跌入安全的大坑,物理上封死 BootROM 的写权限让 checkm8 成为了一个无解的漏洞,没有半点修补的可能。

在之前的文章中笔者就有提到既然存在这样一个如此大范围的、无法修复的漏洞,那么后续必然会有团队利用这个漏洞打造越狱工具。

果然,这个 iOS 神级越狱工具真的来了,在漫长的等待后,全球首个基于 checkm8 打造的越狱工具 checkra1n 问世,近期它的第一个测试版已经正式上线。

checkra1n 支持 iPhone 5s 到 iPhone X 的所有设备,iOS 12.3 及以上的设备均能够使用它进行越狱。

这个设备的支持范围和 checkm8 漏洞本身略有一些不同,可能是这个越狱工具的开发团队在更旧的设备上遇到了什么困难,导致越狱在这些设备上海没有被实现。考虑到现在还在用 iPhone 4S 和 iPhone 5 应该也是极少数了,这个支持范围其实也已经足够大了。

对于 iPad,目前这个测试版还不能向 iPad Air 2、iPad 5 以及第一代 iPad Pro 提供支持,相关的越狱支持要等待该工具的后续更新。

checkra1n 的这个 Beta 版本对于使用环境的要求还是比较严苛的,它目前只能运行在 macOS 上,暂未对 Windows 和 Linux 提供支持,也就是说如果你想用这个工具对你的设备进行越狱,除了在 Mac 上进行越狱外,你就只能尝试在黑苹果上运行它了。

对于想要通过 checkra1n 对设备进行越狱的朋友,笔者在这里要提醒大家,这个越狱仅为「不完美越狱」,受限于 checkm8 的原理,直接在设备上进行越狱、通过 WiFi 等进行越狱等都是不可能实现的,因为 BootROM 在执行完之后就会卸载,在 iOS 启动之后这一块程序已经完全接触不到,只有在 DFU 下 checkm8 才可以通过内存对 BootROM 进行攻击。

由于 BootROM 本身不可被篡改,所以攻击只针对当前这一次启动有效,对于不存在内核漏洞的 iOS 13 等版本,越狱仅限不完美越狱,如果设备重启,那么只有再次通过越狱工具引导设备启动才能够实现越狱。

现阶段 checkra1n 实现的均为不完美越狱,即越狱状态会在设备重启后丢失,后续存在内核漏洞的版本可以支持完美越狱,不过推出的时间要比较靠后。

对于旧设备,不论苹果是否有对 iOS 进行更新、封杀 iOS 中存在的越狱漏洞,只要你不介意不完美越狱,那么通过 checkra1n 都是可以实现越狱的,不单单是现在的 iOS 13,以后的 iOS 14、15 等等,只要设备支持升级到这个版本,通过 checkm8 仍然可以直接实现越狱。

目前 checkra1n 只是第一个测试版,在功能上还不够完善,笔者不推荐想尝试越狱的新玩家使用它给自己的设备越狱,目前来说笔者只推荐有越狱经验的老司机对自己的设备进行越狱。

checkra1n 目前只支持 Cydia 这一个软件平台,由于 Cydia 的作者已经不再提供后续的支持,所以目前越狱玩家们用得比较多的是 Sileo,但是现阶段它还没办法得到 checkra1n 的支持。

就越狱过程来说,checkra1n 还是比较傻瓜化的,用户只需要根据 GUI 上的提示一步一步进行操作即可,它的缺陷主要还是集中在稳定性上,毕竟 checkm8 是一个很新且很底层的东西,而越狱用的 payload 是需要花很多时间去构造、测试的,在一个月里能看到越狱工具已经很不错了,想要追求更高的稳定性,我们只能等更长的时间。

在 checkra1n,笔者要提醒各位的是,你们手上的所有 iPhone 4s 到 iPhone X 已经不再安全,由于出问题的地方在 BootROM,所以 iCloud 锁是有办法进行绕过的,如果你的设备丢了找不回来,或者被偷走,那么它很有可能会被直接刷机,你将很难找回你的设备。

在日常使用中我们不太需要担心这个漏洞对我们设备产生的威胁,因为它只在 DFU 模式下才能使用,必须要插线,同时不能绕过 iPhone 6 及以上设备对用户数据的保护,所以哪怕黑客利用 checkm8 跑起了恶意代码,你的数据仍然是 100% 安全的。

本文到此告一段落,如果你喜欢本文可以扫描下方的二维码关注我们,感谢你的支持。

这里是技宅空格,我们明天见。

本文图片配图来源于网络

读者交流群(QQ):296770564

相关标签

ios
相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论