下载掌阅APP,畅读海量书库
立即打开
为什么对手机取证来说不倾向于做越狱而是做提权?越狱与提权又有什么区别?为什么要越狱?越狱能获得什么?越狱的目的是什么?对于上述设问,接下来一一解答。
第一,越狱可以解除iOS上的限制,一般大众无法安装苹果手机App Store以外的软件,因为有iTunes备份协议,大众只能安装苹果手机系统内部线上审核过的App Store的应用,但有些人就想安装一些未经审核的应用,这时候就需要越狱。第二,越狱可以获取更高权限的系统,越狱之后就会拥有操作系统所有的权限,这个操作系统会给越狱人带来更多的便利性。第三,可以通过越狱使用shell程序,shell程序有更高的权限,同时也可以利用shell程序随意返回任何一个文件夹的界面。第四,越狱后可访问、可写入root内部的文件,root内部的文件普通人没有权限写入,普通人可能连访问权限都没有,但是越狱之后就可以随意写入一些文件来改变系统的设置和参数,或者安装所需软件。第五,越狱可以提取重要文件,包括提取手机内所有的数据,这对取证很有帮助。
越狱分为非完美越狱和完美越狱。非完美越狱指的是,手机每次重启之后需要连上设备重新操作才能处于越狱状态;完美越狱指的是,即使关机后重新开机也依然是越狱状态。越狱的实质是什么?越狱就是利用0-day和1-day的漏洞。所谓的0-day,就是未被发现、未被修复且未被厂商公开的漏洞,可以被人随意使用,利用这种漏洞越狱具有极高的成功率。1-day指的是公开了一天的或者是还未经过BOC标准测试的漏洞,或者还未被证明是否可以利用和复现的漏洞。以上两种类型的漏洞之中,盘古石实验室已经发现了数百个0-day的安全漏洞,包括Android、iOS的漏洞。
根据手机芯片类型的不同,我们可以将漏洞的利用分为A10以下类型和A10以上类型,如图2-1所示。
图2-1 两种类型的漏洞利用
CPU、iOS、iPhone芯片类型在A10以下的是一些款式和型号较老的手机,它们的安全启动链的流程在ROM阶段分阶段进行。第一个阶段是初始化阶段,ROM/Secure ROM,开机启动时执行的第一段程序,负责检查并加载接下来的iBoot;第二个阶段是iBoot,iBoot是苹果开发的引导程序,负责检查并加载系统内核;第三个阶段是Kernel,iso的系统内核阶段;第四个阶段是开机系统阶段,即开机系统启动并输入密码。在整个安全启动链下,系统会引导技术人员实时校验,一旦校验无法通过,就无法进入下一阶段的操作。
整个安全链的启动过程,其实质是技术人员替换一些文件、写入一些文件或欺骗系统,让系统误认为开机正常并配合操作人员完成启动过程。
基本上漏洞会出现在这四个阶段,或者在ROM的启动阶段,或者在iRoom阶段,或者在CTRL阶段,或者在已经进入系统可以输入密码的阶段,在整个安全启动链下面便可以进行操作。漏洞的出现,可以让iPhone4s到iPhone X随意地降级和完美地越狱。除此之外,iPhone12以及到iOS14.2版本都可以进行越狱。
盘古石实验室的临时提权技术,是在手机开机的状态下,在iOS已经进入系统的阶段通过安装一个软件实现临时提权,同时盘古石实验室的临时提权技术是在不会修改原手机的系统文件的情况下进行的,也不会使得手机无法开机或变为白苹果。因为这种提权是动态获取权限的,是利用系统的其他漏洞提升权限而不会修改文件,在利用完之后又可以将这个权限恢复到原来的级别,这样系统就不会发生改变。