Об эксплоитах для iOS, bootrom и конфликте с Geohot

    Недавний релиз jailbreak от Geohot'а для устройств на базе Apple A4 вызвал большой резонанс в кругах Dev Team. Большинство разработчиков упрекало Джорджа Хотца в эгоистичности его намерений, тщеславии и недальновидности. Почему же это произошло?

    limera1n — untethered jailbreak от geohot использует вторую известную уязвимость в bootrom всех новых iOS устройств. Ранее, в сентября этого года, члены Dev Team pod2g и posixninja раскопали и частично документировали первую известную уязвимость в bootrom Apple A4 устройств. Теперь Apple известно о существовании обоих уязвимостей, которые, вероятно, будут закрыты со следующей аппаратной ревизией устройств.

    Все дело в том, что bootrom (или SecureROM) — это небольшой загрузчик, который вызывается iPhone/iPad как только вы включаете устройство. Bootrom обычно прошит в read-only NAND (флеш-память), который прошивается на заводе при изготовлении устройства. Все последующие обновления iOS никак не затрагивают этот участок памяти: обновить bootrom возможно только с новой аппаратной ревизией устройств. Вот почему все найденные уязвимости в данном участке кода стратегически важны.

    После завершения работы bootrom передает управление загрузчику iBoot. iBoot — это загрузчик второй стадии, задача которого провести частичную инициализацию устройства, загрузить ядро iOS и передать ему управление. iBoot легко перешивается при обновлении iOS, по этому все найденные в нем уязвимости носят временный характер.

    Весь цепочечный процесс загрузки iOS выглядит приблизительно так: bootrom -> iBoot -> iOS

    Открытая уязвимость в bootrom всегда является гарантией того, что рано или поздно jailbreak будет осуществлен. Уязвимости в iBoot или iOS ненадежны и закрываются Apple при обновлении iOS. Кроме того jailbreak, который выполняется посредством уязвимости в iBoot как правило является tethered, т.е. после перезагрузки устройства jailbreak необходимо выполнить заново.



    После спешного релиза limera1n Dev Team отложили выход greenpois0n для того, чтобы скрыть реализацию эксплоита bootrom — SHAtter от Apple до следующего поколения устройств, в котором 100% будет закрыта уязвимость, которую использует geohot.

    Если вам интересна данная тематика, в следующий раз мы можем рассмотреть принцип работы эксплоитов для осуществления jailbreak.
    Поделиться публикацией
    Похожие публикации
    Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

    Зачем оно вам?
    Реклама
    Комментарии 82
    • +24
      >Уязвимости ненадежны
      Ooops! You just divided by zero!
      • +24
        >в следующий раз мы можем рассмотреть принцип работы эксплоитов для осуществления jailbreak
        Хотеть!
        • НЛО прилетело и опубликовало эту надпись здесь
          • +6
            Присоединяюсь! Подробности jb и принципы работы эксплоита будут очень интересны!
            • +7
              На русском, конечно же.
          • –14
            Идиот… =\
            • +1
              Да не, он вполне сообразительный. Программирование знает, программки умные пишет. Точно не идиот.
              • НЛО прилетело и опубликовало эту надпись здесь
              • +1
                Вполне возможно, что у него в рукаве есть ещё один эксплоит.
              • +11
                Пикантности ситуации добавляет еще то, что limera1n изначально был tethered jb, но egohot, как его теперь называют, каким-то образом выведал у comex'а его userland exploit, который используется в greenpois0n для того, чтобы сделать unteatherd jb из SHAtter exploit'а. И выпустил свой limera1n вопреки желанию всех участвующих в разработке jb лиц, включая comex'а.
                • +3
                  Для отвязки джейлбрейка Geohot использовал эксплойт Star от comex, на котором был основан сайт JailbreakMe.com. По крайней мере, он сам в этом признается на сайте limera1n. А вот то, что comex был в этом мало заинтересован — разумеется, правда.
                  • 0
                    Ну в старом виде этот эксплойт в новой прошивке закрыт, возможно речь идет про какую-то его модификацию.
                    • +1
                      Эксплойт Star, как и большинство остальных уязвимостей, на деле состоял из нескольких компонентов на разных уровнях цепочки загрузки. Ту часть, которую позволяла запустить код в виде PDF-файла в Safari, Apple успешно прикрыла в прошивках 4.0.2 и 3.2.2. Но та часть эксплойта, которая делала userland-джейлбрейк с сайта JailbreakMe.com непривязанным, осталась незакрытой. Её-то и прибрал к рукам Геохот.
                • 0
                  Ни буду ни кого винить, ибо дело это не хорошее, но скажу только то что Геохот, с моей точки зрения разумеется, поступил как-то не правильно, и говоря «не правильно» я имею ввиду его заявление об уходе со сцены, и таком вот, для многих в его кругах неприятном, возвращении. Хотя я благодарен всем и каждому кто трудится в этой сфере и Джорджу в том числе.
                  • 0
                    Да, спешил он сильно ради первенства и донейтов, уже 4 бэтки наклепал!
                    • 0
                      автор еще забыл добавить, что limera1n отвязанный только потому, что comex с geohot'ом поделился эксплойтом в iOS.
                      • 0
                        Да не поделился comex с ним ничем. geohot только взял в качестве отвязки джейла багу которую нашёл comex и опубликовал, и использовал в jailbrakeme.com
                        • 0
                          А зачем публиковать эти баги то? Чтоб быстрей закрыли?
                    • 0
                      Хорошо, что у Chronic Dev хватило благоразумия не палить второй эксплойт в бутроме в тот же день. У хакеров теперь есть запасной козырь в рукаве на тот случай, если Apple снова заменит бутром в новых партиях устройств (как в прошлом и позапрошлом годах). В противном случае в Apple быстренько бы прикрыли сразу две дыры в бутроме одним махом, и тогда шансов на удачный джейл будущих поколений гаджетов стало бы гораздо меньше.
                      • +4
                        По идее Apple могут покопать бутром и найти вторую дыру самостоятельно (а может и третью и четвертую).
                        • +2
                          Вероятно, когда поиски происходят не за счет apple, выходит дешевле их в последствии закрывать (:
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • 0
                              Складывается ощущение, что проблема латания джейлбрейка не входит в круг первоочередных задач Apple. Обычно они занимаются этим, если джейлбрейк связан с использованием серьёзной дыры в безопасности (как это было с JailbreakMe). Ведь если бы по-настоящему захотели бы искоренить джейл, то могли бы использовать весь свой арсенал — начиная от бутрома и кончая механизмом проверки цифровых подписей на серверах.
                              В общем, спасибо им, что плохо копают )
                              • 0
                                Эппл уже давно всё это делает.
                          • +1
                            Аха, и в следующем году в пятмо поколении Dev-Team тут как тут со своим эксплоитом, 11.11.11 в 11:11:11, но тут неожиданно 10 ноября появляется геохот и снова опережает их и выкладывает свой эксплоит )
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • +1
                              Статья с первых слов предполагает некоторый довольно узкий контекст, вы бы хоть объяснили его.
                              Например, что такое Apple A4 и что за Dev Team, что за Джордж Хотц.
                              • +8
                                Apple A4 — микропроцессор от Apple, он ARM (Cortex-A8 с небольшими плюшками) и в нем есть GPU. Впервые появился в iPad, теперь стоит и в iPhone 4, Apple TV, последних iPod Touch. По поводу бага — железо тоже имеет свои баги, как и софт ярчайшим примером например было когда два года назад Крис Касперски собирался продемонстрировать удаленный взлом win/*nix. Т.е. не важно какая ОС, главное было что работа происходит на процессоре Intel. Поскольку взлом был заранее анонсирован, Intel успели связаться с Крисом и пообещали исправить самые критические ошибки. Например одна из ошибок — проблемы с синхронизацией кеша на многоядерных процах, вовсе не обязательно пытаться сделать переполнение буфера в программе, чтобы перекинуть управление на свой участок кода.

                                Dev Team — кодокопатели и программисты, на самом деле iPhone Dev Team, занимаются как раз «взломом» и возможностью писать под iOS без контроля со стороны Apple.

                                Джорж Хотц, он же геохот — юный хакер, в 17 лет, если не ошибаюсь, он первым сделал unlock для iPhone, правда для этого нужно было физическое вмешательство в телефон, потом уже выпускал разные программные решения для unlock'а и jailbreak'а. Также же занимается ломкой PS3.
                                • 0
                                  Спасибо — неплохо было бы такие вещи в начале статьи указывать.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • 0
                                      какой пронзительный взгляд… воистину зрит в корень!
                                    • +1
                                      Статья не моя, я просто разместил для вас комментарий :)
                                    • 0
                                      ну, истины ради, плойку он слил.
                                    • 0
                                      Данная статья не о iPhone-сцене, ведь подобные материалы уже были в большом кол-ве, а вводная статья о принципах работы эксплоитов под iOS. Вы правы, она требует определенный уровень вхождения. Я добавлю дополнительные ссылки.
                                    • 0
                                      Ага, риквестирую разъяснение в статью. Пока она похожа на не знаю, заметку на полях для узкого круга ограниченных лиц :)

                                      ВпрочеМ, некоторые комментаторы тоже жгут, во:

                                      • +2
                                        Пикантности ситуации добавляет еще то, что limera1n изначально был tethered jb, но egohot, как его теперь называют, каким-то образом выведал у comex'а его userland exploit, который используется в greenpois0n для того, чтобы сделать unteatherd jb из SHAtter exploit'а. И выпустил свой limera1n вопреки желанию всех участвующих в разработке jb лиц, включая comex'а. — тоже можно бы объяснить поподробнее
                                        • +3
                                          <сaptain>
                                          по порядку:
                                          джейлбрейк (джейл) — взлом устройств Apple для установки на них программ не из Apple AppStore
                                          limera1n — программа для джейла устройств Apple от человека по имени Джордж Хотц, он же geohot
                                          tethered jb (jailbreak) — вид джейла, когда после каждой перезагрузки устройства джейл нужно выполнять заново
                                          untethered jb — вид джейла, когда… не нужно выполнять заново
                                          exploit — уязвимость
                                          userland exploit — честно говоря, затрудняюсь, но думаю что подразумевалось «эксплоит, который был разведан им»
                                          greenpois0n — программа для джейла устройств Apple от Dev Team
                                          SHAtter exploit — затрудняюсь, скорее всего один из видов эксплоитов
                                          </сaptain>
                                          • +3
                                            exploit — практический способ или программа, использующая какую-либо уязвимость;
                                            SHAtter exploit — один из эксплойтов, позволяющий запускать неподписанный код на Apple A4, bootrom которого уязвим к посылке определённых USB-пакетов в режиме DFU;
                                            userland exploit — эксплойт, который можно запустить прямо из пользовательского приложения.
                                            • 0
                                              DFU — Device Firmware Upgrade, режим обновления прошивки. Отличается от Recovery Mode тем, что действует в обход операционной системы iPhone и напрямую перепрошивает firmware.
                                              Recovery Mode — режим перепрошивки телефона через iTunes, используя файл прошивки .ipsw. (доступны на сайте Apple)

                                              exploit — практический способ или программа, использующая какую-либо уязвимость;

                                              ваша правда, совсем из головы вылетело :)
                                            • 0
                                              это ни разу не очевидно для всех и каждого, поэтому тэг капитан тут неуместен.
                                          • +1
                                            В блоге Apple iPhone любые пояснения к этой статье излишни, тем более, что по названиям легко нагуглить незнакомые термины.
                                            Новость касается и будет интересна только тем, кто по крайней мере знают что такое unlock для iphone, а они уже слышали наверное о действующих лицах
                                            • 0
                                              Как раз про анлок (возможность звонить с любым оператором) тут ни слова. Тут про джейлбрейк (возможность устанавливать программы не из аппСтора).

                                              Мне как пользователю абсолютно безразлично кто и как крякнул айфон. Какая команда/человек, кто у кого что украл, кто кого подставил… Мне бы звонить с него, да до iOS 4.1 обновиться…
                                          • +3
                                            Статья подразумевает некоторый уровень вхождения. Большинство интересующихся iPhone точно знают, кто такой Джордж Хотц ;)
                                        • –4
                                          Об эксплоитах для iOS, bootrom и конфликте с Geohot

                                          об эксплоитах и bootrom написали, а где о конфликте?
                                          В чём заключается конфликт, и почему geohot неправ?
                                          В том, что выпустил эксплоит? Ну да, Steve Jobs с вами согласен — geohot неправ :)

                                          В том, что Apple закроет дыру в новых телефонах? Так ведь:
                                          в сентября этого года, члены Dev Team pod2g и posixninja раскопали и частично документировали первую известную уязвимость в bootrom Apple A4 устройств. Теперь Apple известно о существовании обоих уязвимостей, которые, вероятно, будут закрыты со следующей аппаратной ревизией устройств.
                                          — это ведь Dev Team pod2g и posixninja, а не geohot досрочно опубликовали дыру.

                                          А если бы Dev Team успели раньше geohot-а выложить свой greenpois0n, то были бы неправы они?
                                          • –1
                                            Вы все поставили с ног на голову. Уязвимость была частично документирована, эксплоит нет. Теперь же geohot выложил эксплоит с новой уязвимости, раскрыв карты второго исходника. На данный момент эксплоит geohot'а Apple может зафиксить в два счета. SHAtter нет, так как документации явно не хватит, реализации тоже нет. Остается лишь шерстить код.
                                            • 0
                                              *раскрыв карты второго исходника — имелось ввиду, что при наличии реализации limera1n, Apple легко зафиксит эту дыру. Не было нужды выпускать свой релиз за несколько часов до релиза SHAtter, который был частично документирован.
                                              • +1
                                                Вы все поставили с ног на голову.
                                                Я всего лишь внимательно прочитал вашу статью и попытался понять суть конфликта из содержания.

                                                После спешного релиза limera1n Dev Team отложили выход greenpois0n для того, чтобы скрыть реализацию эксплоита bootrom — SHAtter до следующего поколения устройств.
                                                — а что было бы, если бы раньше вышел greenpois0n? Или он использует «первую» уязвимость? Ну так в чём проблема, если эта уязвимость уже известна, и при чём здесь SHAtter? Если они скрыли реализацию эксплоита bootrom, то в чём неправ geohot?

                                                На данный момент эксплоит geohot'а Apple может зафиксить в два счета. — это не следует из статьи

                                                Я так понимаю, вы хорошо разбираетесь в jailbreak-сцене, и ваша статья будет понятна только тем, кто и так в теме.
                                                • +2
                                                  Greenpois0n использует уязвимость под названием SHAtter. Вот ее логичнее всего было использовать для реализации все того же limera1n, а не светить новую уязвимость. Когда закрыли бы дыру, которую использует SHAtter, geohot бы появился со своим эксплоитом и все имели бы jailbreak.

                                                  Теперь, с релизом новых устройств, Apple 100% закроет дыру, которую использует geohot и с большой долей вероятности дыру, которую использует SHAtter, так как они уже знает некоторый принцип его работы. Стоило не лезть вперед, ради своего собственного эго, а оставить наработки на будущее. Ведь bootrom не меняется в течении всей аппаратной ревизии устройств.
                                                  • +1
                                                    Спасибо, теперь понятна суть конфликта.
                                                    Если бы вы сразу написали это в статье, то и вопросов бы не возникло.
                                                    • 0
                                                      Несовсем так как тут говорят) Суть скорее в том что эксплоит в limera1n более универсальный. Его например если бы не засветили 100 пудов можно было бы применять на новом проце (пусть даже не А4), shatter это как раз именно A4, конечно dev-team были готовы пожертвовать 3GS зато сейчас сломать все что на A4, а потом сломать iPhone 5 и всю остальную линейку.
                                                      Вобщем как кармы подольют, напишу статью в которой опишу что как и почему.
                                                    • 0
                                                      По мнению некоторых, Apple закрыла бы l1merain-дырку в бутроме даже в том случае, если бы geohot не выложил свой софт. А так у SHAtter хотя бы есть шанс. Я понимаю подобную аргументацию…
                                                      • +1
                                                        Так всё-таки, не потому ли Apple закроет SHAtter, что некоторые его зарание задокументировали?
                                                        Возможно стоило не лезьте вперед, ради собственного эго, а сначала выпустить рабочую утилиту на базе уязвимости? :)
                                                • +3
                                                  Ну и интриги сегодня :)))
                                                  • 0
                                                    Жду статью про принципы работы эксплоитов.
                                                    • 0
                                                      что то я не понял, а разве не Dev team хвастались, что нашли дыру которую Apple сможет закрыть только аппаратно изменив девайс. Чтож они тогда сейчас пытаются придержать?
                                                      • +1
                                                        Сейчас используется другая такая дыра, найденная Геохотом. Ну а Chronic Dev придерживают свой SHAtter до тех времен, когда Apple аппаратно изменит девайсы, обновив бутром. Вот тогда SHAtter пустят в дело и будут ждать, пока Apple не закроет эту дыру новым обновлением бутрома.
                                                        • 0
                                                          по поводу анлока новых модемов что нибудь слышно?
                                                          • 0
                                                            неа, не слыхать, есть только возможность обновиться до 4.1 без обновления модема (рестором) и использовать старый анлок.
                                                            • 0
                                                              Но вроде там еще не всё готово? Если не ошибаюсь, они говорят что сейчас они будут использовать limera1n в их pwnage tool, дабы делать сломанные firmware файлы, на которых можно будет ресторится, и апдейтится не обновляя модем
                                                              • 0
                                                                Нет, Pwnage Tool не нужен. На iPhone 4 (и только на нём) можно обновить прошивку без обновления модема через утилиту TinyUmbrella. Наличие/отсутствие джейла на этот процесс не влияет. Вот тут, например, мануал есть: appstudio.org/blog/4616
                                                                • 0
                                                                  да вот к сожалению только на нём :(
                                                                  кто с 3гс пропал, пока не засунут limera1n и не протестят
                                                              • 0
                                                                А возможно 4.1 откатить до предыдущей версии?
                                                                • 0
                                                                  откатить можно на любую версию на которую сохранены SHSH блобы у саурика на сервере, процесс вроде автоматический, правда сейчас у него сервера переполненные.
                                                      • 0
                                                        Ни о каких успехах в ломании модемов никто пока не сообщал. Единственная хорошая новость была о том, что какому-то хакеру удалось вызвать сбой в модеме 05.14.02, но до анлока там ещё очень далеко.
                                                        • –1
                                                          Какого еще поведения можно ожидать от человека, который ставит свою фотографию на бекграунд инсталлятора джейлбрейка? По-моему цели, преследуемые им, очевидны.
                                                          • 0
                                                            «Well, both iBoot and bootrom are based on the same code. Geohot found this vulnerability a while ago when both iBoot and bootrom contained the code that made them vulnerable. Likely, Apple noticed (by testing their own code) that iBoot and bootrom contained bad code. They fixed it in iBoot, but not in the bootrom (since it's read-only). Geohot noticed that the code was fixed in a later revisions of iBoot, so that hinted that the next bootrom (hardware) revision will contain the fix as well. iPad 2G and iPhone 5G will very likely not be vulnerable anymore for geohots bootrom exploit.

                                                            That's pretty much why he wants to release *his* tool now, instead of the SHAtter exploit, so that SHAtter can be used for the next iOS devices.»
                                                            • 0
                                                              It makes sense. Если дыра в bootrom была зафикшена в iBoot, а код шаренный, то это действительно лишь вопрос времени.
                                                          • 0
                                                            А еще пришлось джейл проводить из под винды, так как товарищу Эгохоту было главное побыстрее выпустить свой вариант и он не стал париться с версией для мака. (greenposi0n — должен был быть и под мак и под вынь).
                                                            • 0
                                                              DaemonI, молодец, почти все описал)
                                                              Ребят, подлейте кармы, очень хочу написать статью про — почему Dev-team и другие не любят Гео, почему зажали shatter и вообще много чего интересного. А так же есть мысли о перспективах джейла. Чем отличается limera1n от shatter изнутри.
                                                              • 0
                                                                Не понимаю почему все считают, что им что-то должны. Человек нашел/использовал известную уязвимость, написал софт. Когда выпустить свой софт, это его личное дело.

                                                                Насчет джейла. Я уверен команды занимаются этим не только из-за прибыли, но и из-за спортивного интереса. Это что-то вроде соревнования. И если руководствоваться принципом: «зажму ка я свою находку, иначе о ней кто-то узнает», то никакого соревнования уже не будет.
                                                                • –1
                                                                  Какойто бред!
                                                                  Эксплоит работает на всех устройствах, а не на A4!
                                                                  Дев-тим никого не упрекает. Вся эта история началась с их слов, у Джорджа нету твиттера, девтимовцы сами писали что он хочет выпустить итд. Comex сам личто помог geohot'у дописать его джейл.

                                                                  И еще, почемуто все решили что геохот ребенок, а остальные дядьки. ОНИ ВСЕ ДЕТИ! томуже comex'у 18 лет недавно исполнилось…
                                                                  • +1
                                                                    Все привыкли Геохота обвинять в эгоизме.
                                                                    Но никто сильно не обсуждал тему что blackra1n вышел 9,10 прошлого года,
                                                                    и что он всего лиш зделал релиз limera1n в годовшину прошлого тула.
                                                                    Может же быть, что Геохот уже давно планоровал на эту дату релизить свой джейлбрейк.
                                                                    Да и домен limera1n.com уже давно был зарегестрирован им.
                                                                    А так как он закрыл блог, и забил на все тимы, то просто не сочёл нужным их предупредить.
                                                                    • 0
                                                                      Имхо, лайм вообще был выпущен для отвода глаз от шаттера. Т.е. запланировано все было и весь этот каламбур с геохотом — только отмазка, ведь столько айманьков терроризировали команды хакеров не давая спокойно работать.
                                                                      • 0
                                                                        >Bootrom обычно прошит в read-only NAND (флеш-память),

                                                                        и давно nand мапится в адресное пространство? в кристалле проца оно внутри живет и никакой это не нанд.
                                                                        • 0
                                                                          Это NAND и живет он не в кристале процессора, а отдельно на компонентном многоуровневом SoC.
                                                                          • 0
                                                                            Если не NAND, то уж точно Nor-Flash, сразу так и не скажу) А NAND далеко не обязательно мапится в адресной пространство ОС, кто вам такое сказал?
                                                                            • 0
                                                                              >NAND далеко не обязательно мапится в адресной пространство ОС

                                                                              нанд туда вообще никогда не мапится

                                                                              >кто вам такое сказал?

                                                                              пока что я видел два варианта — по адресу 0x0 бывает либо обычная норка (которая вполне себе перешивается), либо ром, живущий прямо в кристалле проца.

                                                                              либо под бутромом в айфонах понимается не код, живущий в 0x0, либо кто-то из нас неправ.

                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.