我所介绍的国内黑客是盘古团队。他们最出色的成果在2014年6月24日凌晨,盘古团队发布了iOS7.1.1完美越狱工具,这是国内黑客首次破解苹果公司的系统。“能做出完美越狱工具的,一定是黑客高手中的高手。”有业内人士这样评价。盘古团队虽然人数并不多,但核心成员个个是安全领域传奇般的人物,这些高手分别是:陈小波,超过13年安全行业从业经历,国内著名网络安全组织0x557核心成员,曾就职于启明星辰ADLab、McAfee等安全公司从事研究工作;徐昊,拥有超过10年的信息安全领域从业经验,曾发现过 Windows/OSX/iOS等不同操作系统平台上的漏洞,并在许多安全会议上分享研究成果;王铁磊,北京大学计算机系博士,曾在佐治亚理工学院从事研究工作,毕业论文获得中国计算机学会优秀博士论文奖;李小军,国内著名网络安全组织0x557核心成员,曾任启明星辰助理总裁,集团攻防技术带头人,承接国家和部委重要研究项目,带领团队挖掘大量软件和系统漏洞,取得上百个CNNVD和CVE编号;曾凡宇,国内知名的硬件黑客、拆机狂人,精通各个平台 (Windows/*nix/iOS/Android)的逆向工程,国内第一个实现Android系统移植到魅族M8,并开源工具。
这一次越狱用了信息泄露、内核、代码签名绕过、沙盒绕过等漏洞,其中,信息泄露漏洞Info Leak来自国外的越狱高手i0n1c提供的材料,这个漏洞用来绕过KASLR,同时可以越狱的稳定性,实现完美越狱。其他的漏洞如内核和代码签名漏洞都是盘古团队自己发现的。
下图是安装一个软件的大致过程:
整个安装过程分为12个阶段,上图只是列出了起点、终点还是对盘古越狱来说比较重要的阶段。大家注意上图红线所示的时间区间,在这个区间内如果在“Staging Directory”中创建一个符号链接指向沙盒之外,就可以利用解压程序向系统目录写入文件。同时也可以通过控制压缩包中的文件列表,在起始处放一个大文件,从而在解压过程中创建一个符号链接。这是在盘古在安装过程中利用的主要漏洞。盘古越狱工具主要由四部分组成:
1、桌面程序:提供资源,控制越狱流程。
2、com.pangu.ipa1.ipa:Socket Server,与桌面程序配合制造竞态条件。
3、pangu.dylib,Socket Server,利用内核漏洞安装Untecher,Cydia等。
4、pangu.tar,Untecher
第一步是安装com.pangu.ipa1.ipa,首先利用AFC服务将IPA传到设备上,然后利用 Installation Proxy 安装应用。第二步是获取Cache,调用FileRelay 服务,获取Cache,主要是从中拿到com.apple.mobile.installation.plist.接下来是修改com.apple.mobile.installation.plist,同时修改盘古程序的Info.plist,随后进行构造applicationState.plist,同时更新程序列表,这些结束后,在手机上启动了盘古越狱程序,当用户在手机上启动程序后,手机上的App会启动一个Socket Server,等待桌面程序的握手,桌面向App发送:PING,App收到后回应桌面:PONG。在握手完成后,盘古开始利用静态条件将如上构造的三个Payload安装到手机上。这时手机会进行重启,设备重启完成后,pangu.dylib会被加载,并启动一个 Socket Server。桌面程序在检测到设备加载后会向 pangu.dylib 发送:55AA,pangu.dylib 接到 55AA后开始安装Untecher、Cydia。在pangu.dylib完成工作后,向桌面程序发送:AA55,桌面程序开始清理临时文件,删除Provisional文件,恢复设备时间等操作。在完成清理操作后,桌面程序会第二次重启设备,至此越狱完成。