Итальянский исследователь Лука Тодеско, известный тем, что протяжении последних нескольких лет ищет уязвимости в iOS, выпустил checkra1n, новую утилиту для джейлбрейка, основанную на эксплоите, использующем уязвимость в загрузчике устройств на процессорах A5-A11. Опасность в том, что он использует «дыру в защите», которую Apple не сможет устранить с помощью обновления программного обеспечения.

Подробнее об опасности checkra1n и как ее могут использовать злоумышленники, рассказал Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. Бонусом — видео с джелбрейком iPhone 7.



Вышел джейлбрейк checkra1n, что это значит?


Это значит, что пользователи всех устройств под управлением iOS со старыми процессорами теперь могут чувствовать себя значительно менее защищенными. Если предметно, то уязвимы все мобильные устройства Apple ниже iPhone 10 включительно.

Какая версия iOS уязвима?


Дело в том, что найденная уязвимость аппаратная и не зависит от версии iOS. Уязвимый код находится в той части «железа» устройства, которое записывается однократно при производстве. Поэтому закрыть эту уязвимость программно невозможно.

В чем заключается опасность?


Зная код-пароль и имея физический доступ к устройству, можно провести полное извлечение данных из него, скопировав всю файловую систему. Обычно, без джейлбрейка возможно скопировать только малую часть данных посредством iTunes Backup.


Что-то еще?


Да, так как теперь возможна не доверенная загрузка произвольного кода, можно загрузить устройство в «особую» зараженную версию iOS, и до перезагрузки пользователь будет пользоваться такой скомпрометированной версией iOS, которая может делать с данными пользователя, что угодно.

Получается джейлбрейк работает только до перезагрузки?


Верно, так как используется уязвимость в загрузчике, то после перезагрузки исполнение недоверенного кода больше невозможно. Необходимо повторять процедуру взлома при каждой загрузке.

Что это дает обычному пользователю?


Можно установить неофициальный магазин приложений, изменять операционную систему, ставить пиратские приложения и так далее. Само собой при этом теряется и основная функция безопасности iOS – система отключает все свои средства безопасности и там может исполняться недоверенный код, в том числе и вредоносное ПО.



Что это дает исследователю безопасности?


Это уникальная возможность исследовать любую версию iOS, находить уязвимости и сообщать о них через bug hunting программы. Раньше исследователи были ограничены только некоторыми версиями iOS, под которые уже нашли какие-то уязвимости и есть возможность получить полный доступ. Но теперь, так как это аппаратная уязвимость, можно устанавливать любую версию iOS и изучать её, в том числе и самую актуальную 13.2.2. раньше такое было возможно только на специальных «прототипах», которые обычный исследователь безопасности получить не мог.

Как этим могут воспользоваться мошенники?


В iOS была встроена замечательная система защиты от кражи. Если даже сбросить устройство в изначальное состояние, то его невозможно было активировать без знания Apple ID и пароля. Таким образом украденное устройство максимум могло уйти на запчасти (и то не все его элементы). Теперь же можно программно «обойти» эту активацию, и попытаться продать такое устройство. К сожалению, при таком обходе невозможно будет привязать свой Apple ID и пользоваться сервисами Apple и сотовой связью. Таким образом iPhone превращается в некое подобие iPod. Однако это значит что на досках объявлений скоро появится огромное количество мошенников, которые будут пытаться продать такие «псевдоактивированные» телефоны. Будьте бдительны!

Что делать?


К сожалению, так как уязвимость аппаратная, единственный вариант это сменить устройство на свежее. Не подвержены уязвимости девайсы 2018 года и новее. Такие как iPhone XR, XS и тд.

Чего ждать?


Скорее всего будет возможен взлом код-паролей перебором для iPhone 4S и 5. И ограниченная возможность перебора код-паролей для iPhone 5S и вышел (ограниченное количество попыток). Поэтому для всех уязвимых девайсов рекомендуем установить цифро-буквенный пароль в 8 символов.

Комментарии (13)


  1. DagothNik
    12.11.2019 19:08

    Ждём iPhone SE 2 (или iPhone 11 mini). А так, на мой взгляд проблема преувеличена, по крайней мене на всём что на A7 и выше. Даже 6-значный пароль так просто не подберёшь, попытки ограничены. А если учесть, что биометрическая защита появилась тоже начиная с iPhone 5s, подглядеть пароль так просто не удастся.


    1. EditorGIB Автор
      12.11.2019 22:59

      Проблема специфическая, это правда.
      Для обычного пользователя основная проблема — это краденые айфоны с поломанной системой активации, которые скоро заполонят доски объявлений.
      Для необычного пользователя проблема в том, что, зная код-пароль, можно извлечь значительно больше данных, чем позволяет стандартная процедура iTunes backup.
      Про перебор паролей: как и было отмечено, скорее всего, iPhone 4S и 5 позволят перебрать код-пароли полностью. Для новых, в которых есть security enclave, перебор будет ограничен (по некоторым данным, быстрый перебор порядка 600 000 значений, потом «медленный режим»). На данный момент это не реализовано, но, очевидно, не за горами.
      Для параноиков — теперь возможна загрузка в недоверенную ОС, поэтому можно осуществить загрузку iPhone в некую левую OS (например, модифицированную iOS, но на самом деле загружаться можно во что угодно, ждем Android для iPhone), которая до перезагрузки будет отправлять данные пользователя куда угодно и следить как угодно. Для этого достаточно оставить устройства где угодно на несколько минут. При этом обход пароля не требуется — просто загрузка в недоверенную ОС, а пользователь потом сам разблокирует её своим код-паролем, расшифровав устройство.


      1. DagothNik
        13.11.2019 00:07

        Ну в принципе всё это решается перезагрузкой перед использованием. И периодической сменой пароля. А на счёт перебора, разве данные не будут затёрты после 10 неудачных попыток? На iPhone 5c (могу предположить, что и на более ранних моделях) это решалось бекапом данных с NAND’a и раскатыванием на несколько других NAND‘ов с последующим подключением к тому же iPhone. Но это работает, когда пароль 4-х значный, тут всего 10.000 комбинаций, с 6-ти значным уже сильно больше времени займёт. Хотя, может есть и какие-то другие способы, я глубоко в эту тему не вдавался. Буду благодарен, если просветите.


        1. VelocidadAbsurda
          14.11.2019 13:05

          Эта новая уязвимость позволит запустить модифицированную ОС — делайте что хотите: убирайте ограничение попыток, автоматизируйте перебор на самом устройстве вместо ручного ввода.


          1. DagothNik
            14.11.2019 15:21

            То есть у Apple шифрование устроено таким образом, что установка модифицированной ОС позволяет убрать ограничение по количеству попыток ввода пароля? Интересно. А в чём тогда преимущество A7 и последующих процессоров в этом плане?


            1. DrunkBear
              14.11.2019 15:49

              Их нужно купить у Apple ещё раз?


      1. DrunkBear
        13.11.2019 10:36

        Так и представляю: вышел покурить из ресторана, к оставленному на столике телефону тут же подбегают люди с ноутбуком, начинают взламывать 6-значный код и перешивать телефон на недоверенную iOS, которую только что допилили под вино с креветками — и всё это за 5 минут.
        Вы серьёзно?
        И вообще, новость формата «вышел jailbrake — мы все умрём, а ваши телефоны взломают и продадут на авито» — это жёсткий кликбейт.
        PS вменяемые пользователи, покупающие iPhone на авито, зайдут в свой iCloud и проверят функционал (у меня покупали с такой проверкой), невменяемые и так купят iPhone c 4 камерами, 2 симками и ТВ.


        1. snd3r
          13.11.2019 10:50

          Вполне серьезно, встроить всё это в powerbank и вот уже никаких ограничений по времени со стороны хозяина.


          1. DrunkBear
            13.11.2019 14:58

            Ага, и получить кирпич, когда внезапно выдернется провод из повербанка?
            Такой поверджеилбанк — это уже точечная атака, нет смысла встраивать во все повербанки комплекс для заражения.


            1. snd3r
              14.11.2019 13:03

              это уже точечная атака

              О том и речь.


              А ответ был на: "вышел покурить из ресторана, к оставленному на столике телефону тут же подбегают люди" с повербанком, подключают, смотрят на 4 диода, после того как загорится последний отключают и уходят. Вы возвращаетесь, а на телефоне уже рут и ремоут-шелл.


        1. Tatikoma
          13.11.2019 11:18

          Судя по видео на youtube — сам процесс джейла занимает две минуты. Загрузка в модифицированную ОС займёт не больше.


  1. Mykola_Von_Raybokobylko
    13.11.2019 16:32

    Хмм, то есть моя привычка раз в неделю перезагружать огрызок правильная?


  1. iPingvo
    14.11.2019 13:05

    С FaceID так вообще все обстоит гораздо сложнее думаю.