iOS11.4~iOS11.4.1系统终于可以越狱啦!等了那么久,终于等到了。目前为止,Electra和Unc0ver已经支持iOS11.0~11.4.1系统版本,支持设备有:A9/A9X/A10/A10X/A11。Reddit的Jalbrick社区中有人分别用Unc0ver/Electra越狱做电量使用测试,在完全相同环境下做电池续航性能测试,完全相同设备、完全相同的设置和下载完全相同插件工具,并自然的分别使用一天,测试结果显示越狱电量续航、发热明显改善。那Unc0ver和Electra具体该怎么选择呢?我们的意见是,如果现在想越狱的话,就选Unc0ver。如果你手机之前用的Electra但是喜欢折腾的话,可以先平刷或者类平刷,然后再用Unc0ver越狱。如果你之前用Electra但是动手能力没那么强的话,可以选择再观察一段时间。
以上的这些越狱信息表明取证人员可以利用unc0ver和Electra,在运行iOS 11.4和iOS 11.4.1的Apple设备进行文件系统提取。利用这两个最新的越狱工具,无论硬件配置如何,所有版本的iOS 11都可以越狱。今天,就让我们谈谈如何对钥匙串和文件系统提取。
越狱
iOS虽然足够安全,但仅靠权限升级还不足以开发出一个有效的越狱。今天的越狱工具会利用一系列漏洞来逃避沙箱,获取root权限,重新安装文件系统并执行其他步骤来提供可由专家、开发人员或极客安装和使用的软件包。
要发现可以利用的漏洞是非常困难的,需要研究团队的协调努力。其中一个团队名为Google Project Zero。该团队的工作就是帮助越狱社区为iOS 10的最新版本和iOS 11.4之前的大多数iOS 11版本开发越狱工具。
在此感谢Project Zero,现在iOS 11的两个最新版本iOS 11.4和iOS 11.4.1,都可以进行越狱。
unc0ver
下载地址:https://github.com/pwn20wndstuff/Undecimus/releases
使用说明:https://www.youtube.com/watch?v=TqHYjLHO0zs
Electra
下载地址:https://coolstar.org/electra/
Google Project Zero(适用于iOS 11.4.x到12.1.2的tfp0漏洞利用):https://bugs.chromium.org/p/project-zero/issues/detail?id=1731#c10
注意:如果你在搜索引擎上搜索相关的越狱工具,可能会出来许多链接。所以,请确保直接从上面列出的两个链接下载越狱工具。
那取证专家是如何使用这些越狱工具的呢?下面就让我们使用这些工具来执行完整的文件系统提取。
文件系统提取
访问文件系统的先决条件就是要对设备进行解锁,如果你不知道密码,则必须先使用GrayKey等解决方案将其破解。但是,即使你确实知道密码或取证设备没有设置密码,提取设备的内容也并非你想的那么简单。
iOS设备从一开始,就使用了安全加密来保护用户数据免受硬件攻击。 而iOS 8更是将安全性能提到了一个新的高度,即使苹果公司自己也无法在没有密码的设备里提取信息。 iPhone 5s的发布又增加了另一项安全措施——Secure Enclave,“Secure Enclave”的高级安全架构,专门开发用于保护密码和指纹数据。指纹数据会被加密、储存在设备上并通过 Secure Enclave 的专用密钥受到保护。指纹数据仅由 Secure Enclave 使用,以验证您的指纹是不是与所注册的指纹数据匹配。设备上的操作系统或设备上运行的任何应用程序不会访问指纹数据。指纹数据绝不会储存在 Apple 服务器上,绝不会备份到 iCloud 或其他任何地方,也不会用于匹配其他指纹数据库。
如果iPhone使用的是iOS11.4~iOS11.4.1之前的系统,则对其进行物理采集通常意味着对数据分区进行映像,然后对数据进行解密。由于执行映像需要低级存储访问,而这种低级访问只能由越狱或或基于类似原则的权限升级漏洞来提供。从iPhone 5s开始,即使进行越狱也无法访问加密密钥。这个密钥由Secure Enclave保护,Secure Enclave是Apple首款64位SoC引入的硬件和软件子系统。对于iPhone 5s和所有较新的iPhone(iPhone 5c除外),使用物理采集的专家将收到文件系统(文件和文件夹)的副本,而不是完整的内存转储。
所以访问文件系统仍需要实施越狱,原先,除了iOS 11.4和iOS 11.4.1之外,iOS 11的所有版本都提供了公共越狱。 不过随着uncodver和Electra越狱工具的出现,终于所有的iOS都可以进行越狱了,取证专家也可以通过物理采集的方式对iOS设备的内容进行低级别的访问。
和所有其他采集方法相比,物理采集具有许多优点。由于可以对文件系统受保护部分的低级访问,专家可以提取存储在应用程序的沙箱数据集中的信息,访问系统日志、临时文件、预写日志等等。通过对文件系统的低级访问,专家可以全面分析设备的位置历史和详细的使用历史。他们可以阅读许多即时消息应用程序的电子邮件和对话历史记录,即使有人设法破坏或重置密码,这些信息也不会出现在云备份或本地备份中。
虽然我们开发了解密本地和iCloud 钥匙串的方法,但物理采集仍然是针对具有最高保护级别的钥匙串解密的唯一方法。换句话说,文件系统提取可以完全访问应用程序沙箱和所有系统区域。
越狱工具的安装
所有最新的越狱软件都是通过Cydia Impactor从计算机的sideload刷机模式.ipa文件,或者使用在线服务在iPhone上执行相同任务来安装的。虽然在线安装方法更容易使用,但有很多安全隐患,因为没有人确切知道越狱后iPhone上将安装什么。Cydia Impactor是Cydia 之父Saurik发布的一个全新的越狱应用,它可以帮你的iOS越狱设备恢复到未越狱状态,恢复到原生iOS固件,所有安装了的越狱软件包都会被移除。
注意:为了通过sideload模式刷机获得iPhone上.ipa文件的越狱证书,你需要提供Apple ID的登录名和密码。虽然你可以使用自己的Apple ID,但我们建议你创建一个不带双因素身份验证的一次性Apple帐户。方法如下:
1.使用iTunes或Elcomsoft iOS Forensic Toolkit备份数据,如果备份密码为空,请指定并记录临时密码。
2.使用上面提到的链接,下载你要使用的越狱工具。
注意:如果你尝试使用搜索引擎来搜索unc0ver和Electra的连接,你可能会找到许多传播恶意软件的网站,我们强烈建议你仅从受信任的来源下载。方法如下:
1.下载Cydia Impactor应用程序,Windows,Mac,Linux目前都支持该程序。
2.Cydia Impactor,由Saurik开发,用于签名IPA文件,使越狱工具可以在iOS设备上执行。你需要使用有效的Apple ID凭证来签名IPA,我们建议你使用新创建的Apple ID来签名证书。
3.将iOS设备连接到计算机,选择信任iOS设备上的计算机并启动Cydia Impactor。
4.将越狱IPA拖到Cydia Impactor应用程序上;
5.出现刷机提示时提供Apple ID和密码。单击确定以允许Cydia Impactor签名IPA并将其上传到iOS设备上。建议不要使用含有双因素验证的一次性Apple帐户,另外不要使用与设备上的主ID相同的Apple ID。如果你使用的是非一次性帐户,并且该帐户具有双因素身份验证,则需要在https://appleid.apple.com/account/manage上创建应用专用密码
6.Cydia Impactor会将IPA文件通过sideload模式刷机到iOS设备上;
7.如果你此时尝试启动越狱IPA,则尝试会失败,因为该应用程序的数字证书尚未受信任。
8.由于你需要信任证书才能启动越狱,所以,请在iOS设备上打开“设置”>“常规”>“设备管理”。你将在“Apple ID”标题下看到开发人员的个人资料,点击个人资料以建立对此开发人员的信任。
注意:这需要在设备上进行有效的互联网连接,不过这可能会带来风险。你可以通过使用开发人员证书(注册为开发人员帐户的Apple ID)来避免此风险,在这种情况下,不需要执行此步骤。
9.在iOS设备上,找到越狱应用程序并运行它。按照屏幕上的说明操作,如果使用unc0ver,你将看到以下情况。
10.越狱后,设备将重新启动。
注意:如果你看到如下所示的错误,请参阅上面的先决条件和疑难解答部分。
11.Elcomsoft iOS Forensic Toolkit需要一个有效的SSH连接来对文件系统进行映像,如果你决定使用unc0ver,则需要从Cydia安装OpenSSH。 Electra已经捆绑了一个在端口22监听的SSH守护进程。
注意:unc0ver越狱不附带捆绑的SSH守护程序,由于iOS Forensic Toolkit需要SSH连接,我们建议从Cydia安装OpenSSH。以前版本的Electra确实捆绑了一个SSH守护进程,并且不需要安装OpenSSH。目前,我们还没有测试当前版本的Electra。
使用双因素身份验证的帐户需要生成特定于应用程序的密码:
越狱签名:一次性Apple ID与开发者证书
如上所述,为了使用sideload模式处理IPA文件并在iOS设备上运行它,你需要对IPA文件进行签名。虽然我们通常建议使用一次性Apple ID帐户来获取数字签名,但这样做会带来一定的风险。由于对IPA文件进行签名时,需要在计算机上进行有效的网络连接。为了运行新签名的IPA文件,你可能需要“信任”你尝试越狱的iOS设备上的证书。由于建立信任需要在iOS设备上有效的网络连接,这反过来又存在允许设备连接到Apple的Find My iPhone服务的相关风险,使其可能容易受到远程锁定或远程擦除命令的攻击。
不过你可以使用注册在苹果开发者计划中的苹果ID账户来签署越狱IPA,从而完全避免这种风险。如果你使用开发人员Apple ID对越狱文件进行签名,则不必“信任”设备上的证书,也不需要有效的网络连接。
使用开发人员证书签名的越狱工具的有效期是1年,使用一次性Apple ID签名的IPA文件可在7天内有效,之后你将就是从sideload模式开始,重复整个过程。
是用Unc0ver还是Electra?
iOS 11.4以及iOS 11.4.1设备有两种不同的越狱可用,那到底是用是用Unc0ver还是Electra呢?
由于同一台苹果设备只能运行一种越狱工具,因此我们只能选择其中一个。根据我们的测试,unc0ver越狱工具安装后,需要尝试多次重启。也就是说,虽然我们没有测试Electra,但我们希望它以类似的方式工作。我们研究了以前的Electra版本,是关于在iOS 11.2- iOS 11.3.1上使用 Electra 越狱工具进行iPhone物理采集的。
提取文件系统
越狱工具安装完成后,提取文件系统相对容易了。步骤如下:
1.禁用正在获取的iPhone上的Wi-Fi,最好是将设备置于飞行模式。
2.在运行iOS Forensic Toolkit的计算机上禁用Wi-Fi,以确保没有其他iOS设备连接到相同的网络中的其他设备。
3.运行Elcomsoft iOS Forensic Toolki。
4.在主窗口中,选择“D”以禁用屏幕锁定。如果要提取钥匙串项,则需要这样做。如果屏幕在钥匙串提取过程中被锁定,则某些记录将保持加密状态,无法被提取;如果在获取文件系统时发生这种情况,那么一些文件将不会被复制。
5.在主窗口中,选择“K”以提取钥匙串。由于钥匙串与其他数据相比要小得多,因此可以立即进行提取。从64位iOS设备中提取和解密钥匙串的能力是Elcomsoft iOS Forensic Toolkit的独特功能。除此之外,唯一可以解密钥匙串的工具是GrayKey。钥匙串包含用户存储的密码以及许多令牌,这些令牌可用于在没有登录名和密码的情况下登录各种网站和社交网络。
注意:系统将提示你输入超级用户密码(两次),默认密码为alpine。
6.现在,你可以使用“F”命令提取文件系统。根据提取的iPhone的大小,该过程可能需要的时间则不相同。
映像文件系统
物理采集的最终结果,会以UNIX格式提取设备文件系统的完整映像。UNIX路径中允许的一些字符和文件名在Windows中是禁止的,出于这个原因,我们选择使用TAR格式而不是ZIP来保存文件系统的内容。出于数据分析的需要,你可以解压缩或装载TAR文件。但是,我会教大家构建了一个用于分析此类TAR文件的工具。
Elcomsoft Phone Viewer可以打开由Elcomsoft iOS Forensic Toolkit生成的iOS TAR文件。此外,该工具还可以打开由GrayKey生成的文件系统的ZIP文件。有了它,你将获得全面的位置数据、Apple Pay交易历史,通知信息等。
除了越狱还有其他物理提取的方法吗?
除了通过越狱进行物理提取,还有其他方法。比如使用GrayKey,灰钥匙(GrayKey)是由一家名为Grayshift的公司开发,一个专为执法部分破解iPhone的工具,外部有两个Lightning线缆。另外,GrayKey只提供给特定地区的特定执法机构和政府机构。GrayKey使用与越狱中相同或类似的漏洞。出于显而易见的原因,该公司没有披露其解决方案的技术细节。
另外,如果你能够使用Cellebrite提供的服务,那它则是越狱工具和GrayKey的真正替代品。其开发公司的总部位于以色列,甚至比GrayShift还隐秘,所以我们无法对他们支持的硬件和软件发表评论。
总结
多亏了Google Project Zero,我们终于可以在iOS 11的最新两个版本中实现越狱。目前,研究人员已经在iOS 12.0到12.1.2中发现了漏洞。撰写本文时,最新版本的iOS是12.1.3,但现在仍有可能降级到iOS 12.1.2甚至12.1.1。这些漏洞已经导致了成功的权限升级漏洞,但我们离成功越狱还有很长的路要走。然而,理论上讲,即使没有越狱也可以完全访问iOS12文件系统!