招募黑客网:iPhone BootROM 缝隙阐明及要挟评价

访客5年前黑客资讯817

招募黑客网:iPhone BootROM 缝隙阐明及要挟评价

0x00 相关词汇
AP:运用处理器。
SEP:安全协处理器。
SecureROM:又称 BootROM 是固化在 iPhone 只读区域中的一段代码,该区域中的代码是发动链及发动信赖链的起点,首要担任加载后续的发动链,该区域中的代码无法经过系统更新来更新,所以该区域中的代码一旦呈现安全问题,影响是十分大,而且这种影响是耐久的,只能经过召回设备批改问题。关于 SecureROM 的具体功用,可以参阅笔者之前写的一篇文章 《SecureROM 剖析笔记》。
GID:GID 是固化在 iPhone 加密引擎中的 AES 密钥,一切相同类型的设备具有相同的密钥,比方:一切 iPhone X 都具有相同的密钥。该密钥首要用来解密系统更新固件。SEP 有独立的 GID,与 AP 的不同。
UID:UID 也是固化在 iPhone 加密引擎中的 AES 密钥,但每台手机都有不同的 UID,UID 首要用来加解密用户相关的数据。SEP 有独立的 UID,与 AP 的不同。
 
0x01 工作原因
北京时间9月 28 日清晨,国外安全人员 @axi0mX 经过 Twitter 揭露了一个 iPhone BootROM 的缝隙[1],一同揭露了相关的运用代码[2]。
就像 @axi0mX 在推文中所说[3],这是从 2010 开端,9 年间,之一个揭露的针对 64 位苹果设备的可以运用的 BootROM 的缝隙。我们知道越狱社区一向在跟苹果设备的安全性做着“奋斗”,跟着苹果不断地进步 iPhone 的安全性,越狱变得越来越难,而 BootROM 缝隙不只可以用来越狱当时最新的 iOS 版别,还可以用来越狱SDK目录:里面有开发插件的比方,值得一看。将来的 iOS 版别(由于硬件缝隙无法经过系统更新进行修补),所以该缝隙在越狱社区中引起了巨大的颤动。
 
0x02 受影响的设备
影响从 iPhone 4s 到 iPhone X 的一切设备,一同影响这段时间内出产的 iPad 设备。
 
0x03 缝隙成因阐明
@axi0mX 是经过二进制比照发现的这个缝隙[4],一同 @littlelailo 独立的经过代码审计的 *** 也发现了这个缝隙[5]。@littlelailo 对这个缝隙的成因及运用思路做了阐明[6][7]。
由于 @littlelailo 对缝隙的成因现已说得十分清楚了,这儿就不再弄巧成拙,下面是@littlelailo 阐明的直接机器翻译成果。下文中的图画并不是指图片,而是指 img4 固件文件。
这个过错一开端也被称为Moonshine基本上,我查看过的一切bootrom中都存在以下过错:1.当u *** 开端经过dfu获取图画时,dfu注册一个接口来处理一切指令,并为输入和输出分配一个缓冲区2.假如您将数据发送到dfu,则设置包由主代码处理,然后调出接口代码3.接口代码验证wLength短于输入输出缓冲区的长度,假如是这种状况,它将运用指向输入输出缓冲区的指针更新作为参数传递的指针4.然后回来wLength,这是它要接纳到缓冲区的长度5. USB主代码然后运用长度更新全局变量,并预备接纳数据包6.假如接纳到数据包,则经过作为参数传递的指针将其写入输入输出缓冲区,并运用另一个全局变量来盯梢现已接纳了多少字节7.假如接纳到一切数据,则再次调用dfu特定代码,然后持续将输入输出缓冲区的内容复制到往后从中引导映像的存储方位8.之后,u *** 代码将重置一切变量并持续处理新软件包9.假如dfu退出,则开释输入输出缓冲区,而且假如映像解析失利,则bootrom从头输入dfu
退出dfu可以经过发送dfu间断包或经过触发USB重置触发解析来完结
问题:在第5步,将更新全局变量,而且Bootrom预备接纳数据,但是运用廉价的操控器,您可以违背USB标准而且不发送任何信息(arduino主机操控器或相似的东西)。然后,您可以触发USB重置以触发图画解析。假如解析失利,bootrom将再次输入dfu,但未实行过程8,因而全局变量仍包括一切值。但是,实行了过程9,因而开释了输入输出缓冲区,而在过程3中作为参数传递的指针依然指向它。因而,您可以经过将数据发送到设备来轻松触发对已开释缓冲区的写入。
对A8的运用:1.将0x40的随机数据发送到dfu,有必要发送此数据,不然您将无法运用USB重置ctrlReq(bmRequestType = 0x21,bRequest = 1,wLength = 0x40)退出dfu2.经过发送ctrlReq(0x21,1,0)ctrlReq(0xa1,3,1)ctrlReq(0xa1,3,1)ctrlReq(0xa1,3,1)ctrlReq(0xa1,3,1)使dfu处于等候USB重置的状况ipwndfu dfu.py)3.仅发送了带有bmRequestType 0x21和bRequest 1以及有用载荷巨细的wLength的设置数据包(此数据包将更新全局变量)4.发送一个状况包以符号操控传输的完毕(即便将wLength设置为一个值,我们也会越过数据阶段)5.触发总线复位6.等候设备从头输入dfu(现在将开释输入输出缓冲区,而且将在开释的缓冲区下分配u *** 使命)7.发送设置的装备恳求ctrlReq(bmREQ_SET,USB_REQUEST_SET_CONFIGURATION,wLength = Payloadsize),但将有用载荷与数据阶段一同发送(bootrom中的设置装备处理程序疏忽wLength)
有用负载将掩盖u *** 使命结构,而且将成为u *** 仓库之后的下一个分配。经过定位USB使命结构中的链接列表,您可以刺进假造的使命。而且您可以将u *** 使命仓库用作暂存空间,由于看起来它永久都不会写到那么高。当dfu退出而且u *** 使命间断时,将生成该代码。因而,您可以在第7步之后发送dfu间断数据包,并在该代码实行exec的状况下操控一切较高的寄存器,由于您的虚伪使命将添加到列表中并在往后的某个时间运转。
〜31.05.19莱洛
 
0x04 才能及要挟评价
约束条件
缝隙运用的约束条件:需求将设备置入 DFU (Device Firmware Upgrade)形式。
缝隙及运用目前所具有的才能
1、BootROM 中的恣意代码实行才能。
2、打开 CPU 的硬件调试才能(JTag)。
3、运用 AP 的 GID 进行加解密。
4、运用 AP 的 UID 进行加解密。
恣意代码实行才能及 CPU 级调试才能
BootROM 是 iPhone 发动信赖链的基础,在 BootROM 中具有了恣意代码实行才能,意味着 iPhone 的整个发动信赖链被打破了,毕竟可以用来加载修改正的 iOS 内核,然后损坏 iOS 的基础安全特性。这部分才能首要会被用来做越狱(这儿的越狱是指越狱所带来的才能,而不只仅指越狱行为)。
CPU 级调试才能,这个才能首要会被用来剖析 iPho

相关文章

怎么才能看到他人历史的通话记录

春季是宝宝生长发育的黄金时期,春季不补钙,错失一整年,春天已经来了,你给宝宝补钙了吗?那么春季父母怎样给宝宝补钙好呢,春季宝宝补钙食谱推荐。 钙的作用 钙是生物必需的金属元素。存在于人体的肌肉、神...

高考录取提前批次是什么意思?今天终于搞明白

高考录取提前批次是什么意思?今天终于搞明白

网友一: 一些特殊类型的院校,如军校、警校,侨校;或是专业,如小语种、航海工程,轮机工程等;或是政策倾斜的群体,如艺术生、自主招生、扶贫计划,免费师范生,免费医生等,因其招考及录取的特殊性,需要跟普...

输入法不见了怎么办,教你快速找回

输入法不见了怎么办,教你快速找回

对很多新手来说,类似这些问题是致命的,不知为什么输入法图标不见了,很着急又很无奈怎么也不能调出输入法。用电脑鼠标在输入法语言栏上可选输入法,但用 ctrl+shift 就是无法切换出来输入法,没有一点...

上车走吧百度影音(上车走吧电影完整版)

《上车走吧》主题曲:和自己赛跑的人演唱:李宗盛亲爱蓝迪我的弟弟你很少赢过别人但是这一次你超越自己虽然在你离开学校的时候所有的人都认为你不。 陈宁的个人资身高:1.72m生日:1968年9月星座:处女座...

拜登或将提名奥巴马任美驻英大使-拜登和奥巴马

据最新消息报道拜登或将提名奥巴马任美驻英大使,要知道英首相会尴尬,在此前对美国前总统的不友好言论,这两人之间有过摩擦,因此让奥巴马任美驻英大使会有什么变化呢,另外大家知道拜登和奥巴马的关系是怎么样呢,...

河南深化农村低保专项贾静雯孙志浩治理 对28.5万低保经办人近

  中新网郑州1月13日电 (刘鹏)河南省政府新闻办13日发布消息称,2020年,该省加强扶贫领域监督执纪问责,深化农村低保专项治理,对28.5万低保经办人员及其近亲属登记备案,坚决杜绝“关系保”“人...