Evad3rs-joukkue julkaisi evasi0n lähes viikon kuluttua. Nyt kun olemme kaikki purkaneet iOS-laitteemme ja asentaneet parhaat parannukset, katsotaanpa kuinka uskomattoman yksinkertainen ulkopuolelta, mutta uskomattoman monimutkainen sisäpuolella evasi0n-jailbreak toimii.
Kun Apple vahvistaa iOS: n tietoturvaa, hakkerit eivät voi enää vain löytää yhtä hyödyntämistä kuten aikaisempina päivinä ja käyttää sitä päästäkseen laitteeseen pääkäyttäjänä. evasi0n on yhdistelmä viidestä erilaisesta virheestä, joista suurin osa on vaarattomia erikseen, mutta pystyy yhdessä riittävän murtumaan avoimen iOS: n.
evasi0n alkaa hyödyntämällä iOS: n iTunes-varmuuskopiojärjestelmässä, nimeltään ”MobileBackup” -deemoni. Se tekee tämän suorittamalla “libmobiledevice” -ohjelman PC / Mac-tietokoneella, joka kommunikoi iOS-laitteiden kanssa iTunes-protokollan avulla.
evasi0n palauttaa varmuuskopion, joka sisältää muutama tiedosto, jota tarvitaan jailbreak-ohjelmaan. Koska MobileBackup ei voi tallentaa tiedostoja /var/Mobile/Media -alueen ulkopuolelle, evasi0n toimii tämän ympärillä luomalla ”symlink” tai pikakuvake hakemistoon /var/Mobile/Media nimeltä .haxx, joka osoittaa hakemistoon /var/Media . MobileBackup pystyy nyt kirjoittamaan tiedostoja hakemistoon /var/mobile .haxx linkin kautta. Kopioidut tiedostot muodostavat yhdessä sovelluksen, jonka käsket käynnistää keskellä jailbreak-prosessia.
Symlink-temppua käyttämällä evasi0n pääsee myös aikavyöhyketiedostoon, joka on jälleen linkitetty osoittamaan laukaisemiseen, demoniin, joka ajaa prosesseja “root” -oikeuksilla. Ladatun pääsyä käytetään nyt hyväksi ja aikavyöhyketiedosto asetetaan kaikkien käyttäjien (ei vain juurien) saataville muuttamalla käyttöoikeuksiaan. Samankaltainen temppu tehdään liikkuvan käyttäjän käytettäväksi pistorasiasta, joka käsittelee viestejä käynnistyneiden ja muiden prosessien välillä, jonka alla kaikkia iOS-sovelluksia käytetään.
Nyt käyttäjälle annetaan käynnistää sovellus, joka oli kopioitu iOS-tiedostojärjestelmään aiemmassa vaiheessa. Tämä sovellus, joka käyttää paljastettua käynnistysrasiaa, tekee vain luku -järjestelmäosion kirjoitettaviksi.
Nyt kun järjestelmän osiosta on tullut kirjoitettava, evasi0n käynnistää jälleen MobileBackupin ja kirjoittaa joukon tiedostoja, joista yksi on launchd.conf, joka sisältää joukon komentoja, jotka muodostavat hyväksikäytön. Tämä tiedosto suoritetaan käynnistyksessä joka kerta, joten jailbreak on pysyvä.
Yksi Käynnistä.conf-komennoista vastaa AppleMobileFileIntegrity: n tarkistuskoodin allekirjoitustarkistuksen välttämisestä lataamalla dynaaminen kirjasto, joka korvaa sisäänrakennetun tarkistustoiminnon sellaisella, joka palaa aina totta.
evasi0n: llä on myös toinen tien edessä - Address Space Layout Randomisation eli ASLR, joka tuo sattumanvaraisuuden flash-muistiosoitteisiin, mikä vaikeuttaa ennustamista. ARM-siruissa on kuitenkin edelleen helppo paikantaa sijainti, ja tämän evasi0n: n avulla voidaan kartoittaa koko muisti. Tästä eteenpäin evasi0n, joka hyödyntää virhettä iOS: n USB-käyttöliittymässä, lopulta joutuu laitteen ytimeen, missä kaikki aukeaa.
Via: Forbes, Acuvant Labs