- この記事では iPhone 4 を攻略する詳細な方法を扱っており、特に侵入方法に焦点を当てている。
- 著者 Phillip Tennen は、iPhone 4 向けの iOS 4 脱獄ツール
gala を開発中である。
- Tennen は以前、iOS tweak 開発シーンで活動しており、iOS のシステム動作を改変し、新機能を追加する製品やツールを作っていた。
- 脱獄の過程は、Apple の署名プロセスに関係なく iPhone 上であらゆるコードを実行できるようにするもので、当初は Tennen にとって謎だった。
- 著者は、p0sixninja や axi0mx など過去の開発者たちの仕事を認めつつ、自分で脱獄を書いてみることでこの過程を明確にしようと決めた。
- Tennen は eBay で iPhone 4 と 3GS を購入して着手し、比較的セキュリティが弱いと推測される旧型機種を選んだ。
- 著者は、ブート ROM の脆弱性を利用する方法を探り、それによって USB 経由でデバイスと相互作用できるようになった。
- Tennen は iPhone Wiki で公開されている limera1n のエクスプロイトコードを使用した。
- 著者は、iOS のブートプロセスにおける「信頼の連鎖」という概念を説明しており、各段階が次の段階を信頼できることを保証するとしている。
- SecureROM はブートプロセスの最初の段階であり、暗黙に信頼されているうえ、脆弱性が見つかっても置き換えられないため、攻撃対象になり得る。
- Tennen は、2010 年に geohot が公開した limera1n エクスプロイトを使用しており、これは DFU モードのデバイスが USB 経由でホストから iBSS を待っている間に攻撃できるものだ。
- 著者は pod2g の SecureROM ダンパーを使って limera1n を実装し、USB 経由でデバイスからメモリを読み取った。
- Tennen は、高級言語でペイロードを書くことに苦労した。通常のバイナリコンパイル工程を迂回する必要があったためだ。
- 著者は最終的に、バイナリからシェルコードをコンパイルして抽出し、limera1n でペイロードを実行し、デバイスからデータを読み出すパイプラインの構築に成功した。
- この記事は、ブートチェーンの迂回についてさらに掘り下げる Part 2 を予告して締めくくられる。
1件のコメント
Hacker Newsの意見