comme promis dans leur démo de Yellowsnow, [Pytey], [Musclenerd], et [Planetbeing] de l’équipe iPhone-Dev sont présentés à 25C3 sur leur travail piratage de l’iPhone. L’équipe a initialement formé en 2007 et c’est la présentation la plus détaillée sur la manière dont l’iPhone a été compromis à ce jour. Vous pouvez trouver la conversation complète intégrée ci-dessus.
Ils ont ouvert avec quelques statistiques sur la popularité de leurs logiciels. Notre préféré de loin est que au moins 180 personnes avec Apple Corporate IPS mettent à jour leurs téléphones à l’aide du logiciel de Dev-Team sur une base régulière. À partir de là, la conversation a été divisée en deux sections: jailbreaker le processeur d’application S5L et déverrouillage du processeur de bande de base S-Gold.
Le téléphone compte sur une chaîne de dépend de la garantie que seul le code d’Apple est exécuté dessus. Tous les États-Unis sont contrôlés par le noyau. Le noyau est vérifié lorsqu’il est chargé par Iboot. L’image iboot est vérifiée lorsqu’elle est chargée par LLB. LLB est chargé de la ville ni de la pièce la plus basse du code, le bootrom. C’est là que les choses s’effondrent; Le bootrom ne vérifie pas la signature de la LLB. Pour en profiter, l’équipe a trouvé ce qu’ils décrivent comme un débordement de tampon de pile classique en mode DFU. Le DFU est le mode de mise à niveau du micrologiciel de l’appareil, un état que le téléphone peut être contraint après la charge de boottrom. Leur exploit force que le certificat vérifie “vrai”. Ils sont ensuite capables de corriger toutes les vérifications de signature suivantes hors du système du téléphone.
Le processeur de bande de base vérifiée pour être beaucoup plus difficile tout simplement parce qu’il n’a aucune sorte de mode de récupération; Briqueter un téléphone était toujours une possibilité. Le S-Gold est un système complet sur puce et possède une pièce d’identité spéciale sur chaque téléphone. Le ni n’a également un identifiant spécial sur chaque téléphone. Ces deux identifiants sont utilisés pour signer le Secpack, qui applique à son tour le verrou de la porteuse SIM. Ces identifiants spéciaux sont pourquoi vous ne pouvez pas simplement prendre un téléphone officiellement déverrouillé et copier le SECPACK de celui-ci pour déverrouiller un autre téléphone. Tout le reste est identique: le micrologiciel, la bande de base, la salle de botteaux sont tous identiques. Sur l’iPhone de la deuxième génération, le bootRom vérifie le chargeur de démarrage. Le chargeur de démarrage vérifie ensuite le boottrom avant de vérifier, puis chargez le micrologiciel. Le micrologiciel applique le verrou de transporteur. L’équipe a décidé qu’il ne valait pas la peine de tenter de briser la chaîne de confiance. Le code de déverrouillage de la carte SIM qu’ils ont développé sont divisés en deux sections. La première partie est le logiciel de déverrouillage du logiciel. Ils corrigent le firmware pendant qu’il fonctionne en RAM. Leur patch modifie l’arborescence de décision du micrologiciel sur le point de respecter la serrure du transporteur. La seconde moitié est l’exploit qui leur permet d’injecter le code. L’équipe sait que Apple peut et permettra probablement de corriger le trou d’exploitation, mais leur code de correction de RAM fonctionnera toujours, il s’agit donc d’une question de trouver un autre trou à l’appliquer. En achetant une option de déverrouillage permanente (comme sur l’iPhone de première génération), ils auraient besoin d’examiner le code de bootrom réel.
L’équipe a souligné plusieurs choses que Apple a fait cela qui les a effectivement aidés dans leurs efforts. La sécurité a été progressivement déployée, ils ont donc pu regarder des choses qui seraient éventuellement cachées. Le micrologiciel était initialement non crypté. Les versions antérieures ont appris iTunes, quelque chose qu’ils pourraient facilement modifier. Toutes les applications Userland ont à l’origine couru comme une racine indiquant que toute application exploit a donné accès au niveau de racine.
L’équipe iPhone-Dev a véritablement mis en place une quantité incroyable d’effort et nous attendons avec impatience la sortie YellowSn0W sur la veille du Nouvel An.