Появление эксплойта checkm8 можно назвать одним из важнейших событий прошедшего года для исследователей продукции Apple. Ранее мы уже опубликовали технический анализ этого эксплойта. Сейчас сообщество активно развивает джейлбрейк checkra1n на основе checkm8, поддерживающий линейку устройств iPhone от 5s до X и позволяющий установить на iOS пакетный менеджер Cydia и с его помощью устанавливать различные пакеты и твики.

checkm8 в значительной степени опирается на смещения различных функций в SecureROM и данных в SRAM. В связи с этим могут возникнуть вопросы: как изначально был извлечен SecureROM конкретного устройства? Был ли он извлечен с помощью уязвимостей, лежащих в основе checkm8, или каким-то другим образом?

Наверное, ответить на эти вопросы могут лишь сами исследователи, принимавшие участие в разработке checkm8. Однако, в этой статье мы расскажем об одном из подходов к извлечению SecureROM, основанном на уязвимостях, используемых в checkm8, и требующем минимальных знаний о структуре памяти устройства. Описанный метод не является универсальным и будет работать только на устройствах без технологии безопасности W^X. В качестве примера мы рассмотрим Lightning-видеоадаптер Apple (да, в этом адаптере есть свой SoC с SecureROM) и продемонстрируем не только извлечение SecureROM, но и полную реализацию функциональности checkm8 для этого адаптера.

Не кажется ли вам странным, что на фоне глобальной цифровизации, развития аппаратных и программных решений, пик популярности форензики как науки уже прошел, а интерес к ней угасает с каждым днем? Старейшие производители и поставщики решений для криминалистических исследований такие, как Guidance Software (Encase Forensics) и AccessData (Forensic Toolkit), — "золотой эталон" для экспертов, детективов, следователей, судей и адвокатов, поглощены третьими компаниями. Ряд ведущих специалистов и авторов бестселлеров в области форензики по тем или иным причинам покинули эту область.... а оставшиеся специалисты частенько наступают на одни и те же грабли. Вот об этих "граблях", проблемах и "болевых точках" криминалистов решил порассуждать Игорь Михайлов, ведущий специалист Лаборатории компьютерной криминалистики Group-IB.

С чего все началось

Многие знакомые просили меня посмотреть на чешское приложение для трекинга зараженных ковидом, под названием eRouška (буквальный перевод с чешского еМаска). Вокруг этого приложения ходит много слухов. Например, что злобное правительство решило установить тотальный контроль над своими гражданами и навязывает им это приложение. Я вообще не сторонник теорий заговора, но действительно стало интересно. Приложение использует Bluetooth для коммуникации с другими устройствами, находящимися в зоне действия. Записывает эти данные в свою базу и получает обновления с сервера. Если был контакт с зараженным, присылает оповещение. Ходили слухи, что после этого оповещения сразу же сажают на карантин. 

История

Первая версия приложения была просто ужасной, как и все приложения подобного типа, разработанные в разных странах. Приложение очень долго не могло попасть в App Store, лишь где-то через месяц у разработчиков получилось как-то его допилить. Потом выяснилось, что на устройствах Apple оно толком и не работало, только сжирало батарейку. Для регистрации на сервере нужно было ввести номер телефона и получить на него SMS-ку. Что уже позволяло Минздраву узнать, кто контактировал с зараженным. Особой популярности это приложение не получило и чешское правительство было вынуждено признать, что проект провалился. 

Защита от взлома кода блокировки экрана