Убийца iOS: джейлбрейк с помощью checkra1n в вопросах и ответах



    Итальянский исследователь Лука Тодеско, известный тем, что протяжении последних нескольких лет ищет уязвимости в iOS, выпустил checkra1n, новую утилиту для джейлбрейка, основанную на эксплоите, использующем уязвимость в загрузчике устройств на процессорах A5-A11. Опасность в том, что он использует «дыру в защите», которую Apple не сможет устранить с помощью обновления программного обеспечения.

    Подробнее об опасности checkra1n и как ее могут использовать злоумышленники, рассказал Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. Бонусом — видео с джелбрейком iPhone 7.



    Вышел джейлбрейк checkra1n, что это значит?


    Это значит, что пользователи всех устройств под управлением iOS со старыми процессорами теперь могут чувствовать себя значительно менее защищенными. Если предметно, то уязвимы все мобильные устройства Apple ниже iPhone 10 включительно.

    Какая версия iOS уязвима?


    Дело в том, что найденная уязвимость аппаратная и не зависит от версии iOS. Уязвимый код находится в той части «железа» устройства, которое записывается однократно при производстве. Поэтому закрыть эту уязвимость программно невозможно.

    В чем заключается опасность?


    Зная код-пароль и имея физический доступ к устройству, можно провести полное извлечение данных из него, скопировав всю файловую систему. Обычно, без джейлбрейка возможно скопировать только малую часть данных посредством iTunes Backup.


    Что-то еще?


    Да, так как теперь возможна не доверенная загрузка произвольного кода, можно загрузить устройство в «особую» зараженную версию iOS, и до перезагрузки пользователь будет пользоваться такой скомпрометированной версией iOS, которая может делать с данными пользователя, что угодно.

    Получается джейлбрейк работает только до перезагрузки?


    Верно, так как используется уязвимость в загрузчике, то после перезагрузки исполнение недоверенного кода больше невозможно. Необходимо повторять процедуру взлома при каждой загрузке.

    Что это дает обычному пользователю?


    Можно установить неофициальный магазин приложений, изменять операционную систему, ставить пиратские приложения и так далее. Само собой при этом теряется и основная функция безопасности iOS – система отключает все свои средства безопасности и там может исполняться недоверенный код, в том числе и вредоносное ПО.



    Что это дает исследователю безопасности?


    Это уникальная возможность исследовать любую версию iOS, находить уязвимости и сообщать о них через bug hunting программы. Раньше исследователи были ограничены только некоторыми версиями iOS, под которые уже нашли какие-то уязвимости и есть возможность получить полный доступ. Но теперь, так как это аппаратная уязвимость, можно устанавливать любую версию iOS и изучать её, в том числе и самую актуальную 13.2.2. раньше такое было возможно только на специальных «прототипах», которые обычный исследователь безопасности получить не мог.

    Как этим могут воспользоваться мошенники?


    В iOS была встроена замечательная система защиты от кражи. Если даже сбросить устройство в изначальное состояние, то его невозможно было активировать без знания Apple ID и пароля. Таким образом украденное устройство максимум могло уйти на запчасти (и то не все его элементы). Теперь же можно программно «обойти» эту активацию, и попытаться продать такое устройство. К сожалению, при таком обходе невозможно будет привязать свой Apple ID и пользоваться сервисами Apple и сотовой связью. Таким образом iPhone превращается в некое подобие iPod. Однако это значит что на досках объявлений скоро появится огромное количество мошенников, которые будут пытаться продать такие «псевдоактивированные» телефоны. Будьте бдительны!

    Что делать?


    К сожалению, так как уязвимость аппаратная, единственный вариант это сменить устройство на свежее. Не подвержены уязвимости девайсы 2018 года и новее. Такие как iPhone XR, XS и тд.

    Чего ждать?


    Скорее всего будет возможен взлом код-паролей перебором для iPhone 4S и 5. И ограниченная возможность перебора код-паролей для iPhone 5S и вышел (ограниченное количество попыток). Поэтому для всех уязвимых девайсов рекомендуем установить цифро-буквенный пароль в 8 символов.
    Group-IB
    Компания

    Комментарии 14

      +1
      Ждём iPhone SE 2 (или iPhone 11 mini). А так, на мой взгляд проблема преувеличена, по крайней мене на всём что на A7 и выше. Даже 6-значный пароль так просто не подберёшь, попытки ограничены. А если учесть, что биометрическая защита появилась тоже начиная с iPhone 5s, подглядеть пароль так просто не удастся.
        0
        Проблема специфическая, это правда.
        Для обычного пользователя основная проблема — это краденые айфоны с поломанной системой активации, которые скоро заполонят доски объявлений.
        Для необычного пользователя проблема в том, что, зная код-пароль, можно извлечь значительно больше данных, чем позволяет стандартная процедура iTunes backup.
        Про перебор паролей: как и было отмечено, скорее всего, iPhone 4S и 5 позволят перебрать код-пароли полностью. Для новых, в которых есть security enclave, перебор будет ограничен (по некоторым данным, быстрый перебор порядка 600 000 значений, потом «медленный режим»). На данный момент это не реализовано, но, очевидно, не за горами.
        Для параноиков — теперь возможна загрузка в недоверенную ОС, поэтому можно осуществить загрузку iPhone в некую левую OS (например, модифицированную iOS, но на самом деле загружаться можно во что угодно, ждем Android для iPhone), которая до перезагрузки будет отправлять данные пользователя куда угодно и следить как угодно. Для этого достаточно оставить устройства где угодно на несколько минут. При этом обход пароля не требуется — просто загрузка в недоверенную ОС, а пользователь потом сам разблокирует её своим код-паролем, расшифровав устройство.
          0
          Ну в принципе всё это решается перезагрузкой перед использованием. И периодической сменой пароля. А на счёт перебора, разве данные не будут затёрты после 10 неудачных попыток? На iPhone 5c (могу предположить, что и на более ранних моделях) это решалось бекапом данных с NAND’a и раскатыванием на несколько других NAND‘ов с последующим подключением к тому же iPhone. Но это работает, когда пароль 4-х значный, тут всего 10.000 комбинаций, с 6-ти значным уже сильно больше времени займёт. Хотя, может есть и какие-то другие способы, я глубоко в эту тему не вдавался. Буду благодарен, если просветите.
            0

            Эта новая уязвимость позволит запустить модифицированную ОС — делайте что хотите: убирайте ограничение попыток, автоматизируйте перебор на самом устройстве вместо ручного ввода.

              0
              То есть у Apple шифрование устроено таким образом, что установка модифицированной ОС позволяет убрать ограничение по количеству попыток ввода пароля? Интересно. А в чём тогда преимущество A7 и последующих процессоров в этом плане?
                0
                Их нужно купить у Apple ещё раз?
                  0

                  Удалением ключей из NAND при превышении количества попыток занимается ОС — соответственно при возможности модификации ОС можно этот функционал убрать. А преимущество новых процессоров с SEP в том, что проверкой паролей и вычислением производных ключей занимается отдельное ядро, которое не заставить делать это быстрее, не имея эксплоита именно для этой изолированной подсистемы (в ней свои проверки запускаемого в ней кода и их пока не обошли).

              0
              Так и представляю: вышел покурить из ресторана, к оставленному на столике телефону тут же подбегают люди с ноутбуком, начинают взламывать 6-значный код и перешивать телефон на недоверенную iOS, которую только что допилили под вино с креветками — и всё это за 5 минут.
              Вы серьёзно?
              И вообще, новость формата «вышел jailbrake — мы все умрём, а ваши телефоны взломают и продадут на авито» — это жёсткий кликбейт.
              PS вменяемые пользователи, покупающие iPhone на авито, зайдут в свой iCloud и проверят функционал (у меня покупали с такой проверкой), невменяемые и так купят iPhone c 4 камерами, 2 симками и ТВ.
                0

                Вполне серьезно, встроить всё это в powerbank и вот уже никаких ограничений по времени со стороны хозяина.

                  0
                  Ага, и получить кирпич, когда внезапно выдернется провод из повербанка?
                  Такой поверджеилбанк — это уже точечная атака, нет смысла встраивать во все повербанки комплекс для заражения.
                    0
                    это уже точечная атака

                    О том и речь.


                    А ответ был на: "вышел покурить из ресторана, к оставленному на столике телефону тут же подбегают люди" с повербанком, подключают, смотрят на 4 диода, после того как загорится последний отключают и уходят. Вы возвращаетесь, а на телефоне уже рут и ремоут-шелл.

                  0
                  Судя по видео на youtube — сам процесс джейла занимает две минуты. Загрузка в модифицированную ОС займёт не больше.
              –2
              Хмм, то есть моя привычка раз в неделю перезагружать огрызок правильная?
                0
                С FaceID так вообще все обстоит гораздо сложнее думаю.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое