HITBSecConf Posts Resumos para futuras apresentações pelo popular iPhone Hackers

[Reginaldo SanTana™]

ITBSecConf postou resumos para futuras apresentações por 'Dream Team' do iPhone dos hackers em Corona, absinto, e desbloqueio. MuscleNerd (@ MuscleNerd), Joshua Hill (@ p0sixninja), Cirilo (@ pod2g), Nikias Bassen (@ pimskeks), e David Wang (planetbeing @) estará apresentando. Você pode ler os resumos de suas apresentações abaixo.

Evolução da Baseband do iPhone e Destrava MuscleNerd (@ MuscleNerd) Desde o primeiro iPhone em 2007, o baseband que a Apple usa para comunicações de celular evoluiu tanto em termos de hardware e software. Algumas das mudanças foram menores, mas os outros eram muito drástica e, obviamente, que visa dissuadir transportadora desbloqueia. Este artigo detalha as mais interessantes, das mudanças e quais os efeitos que tiveram no software baseado desbloqueia e interposers baseados em hardware SIM. Além de comparar o baseband mais recente contra o seu próprio hardware mais cedo e encarnações de software, compará-lo com outros aparelhos atuais da Qualcomm e discutir as implicações das mudanças a Apple fez para a tradicional seqüência de inicialização baseband Qualcomm. Esta apresentação vai abordar:

Baseband ROP: Visão geral do papel ROP joga em software desbloqueia como yellowsn0w e ultrasn0w.

Comparação de ROP na CPU Aplicação lado principal (desbloqueios). Por que ROP não era mesmo necessária sobre a primeira geração de iPhones.

Software Destrava vs Hardware Destrava: Como o software do iPhone destrava diferem daqueles usando interposers hardware SIM. Que as camadas da banda de base estão expostas a cada um, e como o ambiente de desenvolvimento de exploração difere. Descrição dos hacks ainda mais radicais, como a adaptação baseband chipset e que a Apple fez para impedi-los.

iPhone4 DEP: Como a Apple implementou DEP com alterações de hardware específicos sobre a baseband iPhone4, eo que deu errado. Como ultrasn0w foi feito para trabalhar, apesar DEP baseada em hardware agressivo.

Sistemas Operacionais: Até agora, a Apple usou 3 sistemas operacionais completamente diferentes de banda na linha iPhone. Descrição de quais partes da Apple tende a personalizar e por quê. Comparação de análise de comando passado e presente personalizado.

Infineon vs Qualcomm: Discussão sobre a transição de chipsets Infineon banda base para chipsets da Qualcomm. Comparação entre os mais velhos de série baseada na interface (ainda usado em muitos outros aparelhos) para a QMI baseada em USB usado pelos iPhone4S.

Bilhetes de ativação: descrição detalhada do "bilhete de ativação" A Apple usa para autorizar o uso com específico (ou todos) portadores. Como os bilhetes de ativação interagir com os tradicionais códigos PIN baseados NCK. Contrastantes bilhetes de ativação e bilhetes de banda base.

Bilhetes Baseband: Detalhes sobre como a Apple autentica atualizações de software para o baseband. Comparação de baseband ingressos para "ApTickets" que a Apple agora usa na CPU principal aplicação para controlar alterações de software. Por ingressos de banda fornecer proteção ainda forte do que ApTickets. O papel do nonces tanto em banda e CPU principal do aplicativo.

iPhone4S: O que aprendemos até agora sobre o baseband iPhone4S. Síntese das alterações a Apple fez para o bootrom Qualcomm original. Como o processo de inicialização iPhone4S baseband difere da maioria dos outros Qualcomm baseadas em handsets. Que apresenta o baseband iPhone4S tem em comum com outros aparelhos e que tenham sido removidas. Descrição das superfícies de ataque atuais, e comparando os mecanismos de proteção contra iPhone4 iPhone4S baseada em hardware. -----

Parte 1: Jailbreak para iOS 5.0.1 Corona Joshua Hill (@ p0sixninja), Cirilo (@ pod2g) & Bassen Nikias (@ pimskeks) GreenPois0n absinto foi construída sobre jailbreak @ pod2g do untether Corona para criar o jailbreak primeira vez em público para o 2 º iPhone 4S e iPad em para o firmware 5.0.1.

Neste artigo, apresentamos uma cadeia de vários exploits para realizar sandbox breakout, kernel injeção de código não assinado e execução que resultam em um jailbreak cheio de recursos e untethered. Corona é um acrônimo para "racoon", que é a primeira vítima para o ataque . Um formato string vulnerabilidade foi localizado em rotinas racoon de tratamento de erros, permitindo que os pesquisadores para escrever dados arbitrários para pilha de racoon, um byte de cada vez, se eles podem controlar o arquivo de configuração do racoon. Usando esses pesquisadores técnica foram capazes de construir uma carga ROP na pilha racoon para montar um volume ladino HFS que injeta código no nível do kernel e corrigir o seu código de assinatura de rotinas. O untether originais Corona explorar utilização do exploit bootrom Limera1n como uma injeção vetorial, para permitir aos desenvolvedores desabilitar o ASLR e sandboxing, e chamar racoon com um script de configuração personalizada. Este, porém, deixou-o inutilizável para novos dispositivos, como o A5 4S iPad2 e iPhone, que não foram exploradas para limera1n, para outro vetor de injeção foi necessário. -----

Parte 2: O absinto Jailbreak para iOS 5.0.1 Joshua Hill (@ p0sixninja), Cirilo (@ pod2g), David Wang (@ planetbeing) e Nikias Bassen (@ pimskeks) Pouco após o lançamento do Corona, xvolks @ @ pod2g veio com uma observação interessante. Ele percebeu que era possível injetar seqüências de formato em racoon através da configuração de vpn no aplicativo configurações do iPhone. Infelizmente, a injeção foi limitada a apenas 254 caracteres, e, além disso racoon também foi fortemente sandboxed. @ P0sixninja veio com a solução de injetar um comando 'include' na configuração para carregar comandos de uma fonte externa controlável, que também está em conformidade com as restrições racoon do sandbox. Apenas um arquivo foi localizado que é permitido pelo perfil racoon da caixa de areia e também escritos a partir do exterior, neste caso usando o protocolo de backup móvel. Agora que encontramos uma maneira de injetar uma carga de qualquer tamanho, os nossos próximos dois maiores desafios eram contornar ASLR e caixa de areia. Desvio ASLR foi trivial, já que slides de cache dinâmico linker só é atualizado uma vez a cada reboot, utilizando uma outra forma inútil bug dereference NULL ponteiro e a capacidade de ler crashreports desligar o dispositivo permitiu o cálculo fácil de entrada para geração de código @ pod2g ROP. desvio Sandbox foi um pouco menos triviais e envolveu novas explorações nas entranhas do kernel XNU. A idéia apresentada por @ p0sixninja era usar o sistema de depuração de chamadas para anexar a um processo de fora não contida pelo sandbox e começar a fazer o que pedimos. Alguns ninja mach de @ planetbeing permitiu injetar dados confiáveis ​​na pilha outro processo e usando APIs de depuração que foram capazes de saltar para carga ROP trabalhada dentro desse processo que então passou a usar launchctl para re-executar racoon (sem ASLR e sem sandbox racoon do container) para realizar a montagem da nossa imagem ladino HFS e executar os problemas de exploração finais do kernel livre. Depois que o kernel foi explorada e atualizado, que era apenas uma questão de mover os arquivos Corona exploit untethered em local a ser executados a cada boot. -----

MuscleNerd