Teamet evad3rs släppte evasi0n nära en vecka tillbaka. Nu när vi alla jailbrutit våra iOS-enheter och installerat de bästa tweaks, låt oss ta en titt på hur det otroligt enkla på utsidan, men ändå otroligt komplicerat på insidan evasi0n jailbreak fungerar.
Eftersom Apple stärker säkerheten i iOS kan hackare inte längre bara hitta en enda exploatering som tidigare dagar och använda den för att få root-åtkomst till en enhet. evasi0n är en kombination av fem olika buggar, de flesta ofarliga var för sig, men tillsammans tillräckligt kapabla för att knäcka öppet iOS.
evasi0n börjar med att utnyttja i iOS: s iTunes-backupsystem, kallad "MobileBackup" -demon. Det gör detta genom att köra "libmobiledevice", ett program på din PC / Mac som kommunicerar med iOS-enheter med iTunes-protokollet.
evasi0n återställer en säkerhetskopia som innehåller några filer som behövs för jailbreak. Eftersom MobileBackup inte kan lagra filer utanför /var/Mobile/Media fungerar evasi0n runt detta genom att skapa en "symlink" eller en genväg i /var/Mobile/Media namnet .haxx som pekar på /var/Media . MobileBackup kan nu skriva filer till /var/mobile genom .haxx symlänken. De kopierade filerna bildar tillsammans appen som du får höra att starta mitt i jailbreak-processen.
Med symlink-trick får evasi0n också tillgång till en tidszonfil, som återigen är länkad till peka till lansering, en daemon som kör processer med "root" -behörigheter. Tillgången till lansering utnyttjas nu och tidszonfilen görs tillgänglig för alla användare (inte bara root) genom att ändra dess behörigheter. Ett liknande trick används för att skapa en socket, som hanterar kommunikation mellan lanserade och andra processer, tillgängliga för mobilanvändare, under vilka alla appar på iOS körs.
Nu får användaren besked om att starta appen som hade kopierats till iOS-filsystemet i ett tidigare steg. Den här appen använder det utsatta lanseringsuttaget och gör den skrivskyddade systempartitionen skrivbar.
Nu när systempartitionen har blivit skrivbar skjuter evasi0n igen upp MobileBackup och skriver ett gäng filer, varav en är launchd.conf som innehåller en massa kommandon som utgör utnyttjandet. Den här filen körs upp varje gång, vilket gör att jailbreak fortsätter.
En av kommandona i launchd.conf ansvarar för att undvika AppleMobileFileIntegritys kontrollkodsigneringskontroll genom att ladda ett dynamiskt bibliotek, som ersätter den inbyggda kontrollfunktionen med en som alltid returnerar sann.
evasi0n har också en annan vägspärr framför sig - Address Space Layout Randomisation, eller ASLR, som introducerar slumpmässighet i flashminneadresser, vilket gör det svårt att förutsäga. Men det finns fortfarande en plats på ARM-chips som är lätt att hitta, och med hjälp av denna evasi0n kan kartlägga hela minnet. Härifrån kommer evasi0n, som utnyttjar ett fel i iOS: s USB-gränssnitt, slutligen in i enhetens kärna, och det är där allt öppnas.
Via: Forbes, Acuvant Labs