Teamet evad3rs frigav evasi0n tæt på en uges tid tilbage. Nu hvor vi alle jailbroken vores iOS-enheder og installeret de bedste tweaks, lad os se på, hvordan det utroligt enkle på ydersiden, men alligevel utroligt kompliceret på indersiden evasi0n jailbreak fungerer.
Da Apple styrker sikkerheden i iOS, kan hackere ikke længere blot finde en enkelt udnyttelse som tidligere dage og bruge den til at få rodadgang til en enhed. evasi0n er en kombination af fem forskellige bugs, de fleste af dem ufarlige hver for sig, men sammen i stand til at knække åbne iOS.
evasi0n begynder med at udnytte i iOS 'iTunes-backup-system, kaldet "MobileBackup" -demon. Det gør dette ved at køre “libmobiledevice”, et program på din pc / Mac, der kommunikerer med iOS-enheder ved hjælp af iTunes-protokollen.
evasi0n gendanner en sikkerhedskopi, der indeholder et par filer, der er nødvendige til jailbreak. Da MobileBackup ikke kan gemme filer uden for /var/Mobile/Media, fungerer evasi0n omkring dette ved at oprette en “symlink” eller en genvej i /var/Mobile/Media navnet .haxx, der peger på /var/Media . MobileBackup er nu i stand til at skrive filer til /var/mobile gennem .haxx symlink. De kopierede filer danner samlet den app, som du får besked om at starte midt i jailbreak-processen.
Ved hjælp af symlink-trick får evasi0n også adgang til en tidszone-fil, som igen symlinkes til punkt til launchd, en dæmon, der kører processer med "root" -rettigheder. Adgangen til lancering udnyttes nu, og tidszonefilen gøres tilgængelig for alle brugere (ikke kun root) ved at ændre dens tilladelser. Et lignende trick bruges til at fremstille en socket, der håndterer kommunikation mellem lancerede og andre processer, der er tilgængelige for mobilbruger, hvor alle apps på iOS køres.
Nu får brugeren besked om at starte den app, der var blevet kopieret til iOS-filsystemet i et tidligere trin. Denne app, der bruger det udsatte lanceringsstik, gør den read-only systempartition skrivbar.
Nu, hvor systempartitionen er blevet skrivbar, skyder evasi0n igen MobileBackup op og skriver en flok filer, hvoraf den ene er launchd.conf, der indeholder en masse kommandoer, der udgør udnyttelsen. Denne fil køres hver gang, hvilket gør jailbreak vedvarende.
En af kommandoerne i launchd.conf er ansvarlig for at undgå AppleMobileFileIntegritys kontrolkodesigneringskontrol ved at indlæse et dynamisk bibliotek, som erstatter den indbyggede kontrolfunktion med en, der altid returnerer sand.
evasi0n har også en anden spærring foran sig - Adressepladslayout Randomisering, eller ASLR, der introducerer tilfældighed i flashhukommelsesadresser, hvilket gør det vanskeligt at forudsige. Der er dog stadig en placering på ARM-chips, der er let at finde, og ved hjælp af denne evasi0n kan kortlægges hele hukommelsen. Herfra kommer evasi0n, der udnytter en fejl i iOS 'USB-interface, endelig ind i enhedens kerne, og det er her alt åbner sig.
Via: Forbes, Acuvant Labs