25C3:iPhone-devチームからのiPhone

を約束したとおり、iPhone-devチームからの[Pytey]、[Musclenerd]、およびPlanetbeing]がiPhoneをハッキングしています。当初は2007年に結成されたチームで、iPhoneが今日まで侵害された方法に関する最も詳細なプレゼンテーションです。上記のフルトークを見つけることができます。

彼らは彼らのソフトウェアの人気の推移についていくつかの統計で開きました。私たちのお気に入りの私たちのお気に入りは、Apple Corporate IPSを持つ少なくとも180人が、定期的にDev-Teamのソフトウェアを使用して携帯電話を更新することです。そこからTalkは2つのセクションに分割されました.S5Lアプリケーションプロセッサーを脱獄し、S-Gold Basebandプロセッサのロック解除です。

電話機は、Appleのコードだけが実行されていることを保証するために、依存の連鎖を数えます。ユーザーランドはすべてカーネルによってチェックされています。 ibootによってロードされたときにカーネルがチェックされます。 IBOOT画像はLLBによってロードされたときにチェックされます。 LLBは、または最低のコードの一枚のコード、ブートロムによってロードされます。それが物事が離れた場所です。 BOOTROMはLLBの署名をチェックしません。これを利用するために、チームはDFUモードで古典的なスタックバッファオーバーフローとして説明した内容を見つけました。 DFUはデバイスファームウェアのアップグレードモードであるため、BootRomロードの後に​​電話が強制されることができる状態です。彼らの悪用は証明書のチェックを強制的に返して「真」を返す。その後、その後のシグニチャチェックを携帯電話のシステムからパッチすることができます。

ベースバンドプロセッサは、一種のリカバリモードがないため、単に多くのタフであることを確認しました。電話をかけた電話は常に可能性でした。 S – GOLDは完全なシステムオンチップで、各電話機に特別なIDがあります。各電話で特別なIDもあります。これら2つのIDはSecpackに署名するために使用され、それは次にSIMキャリアロックを強制します。これらの特別なIDは、正式にロック解除された電話を取り、それからSecpackをコピーして別の電話のロックを解除することができない理由です。他のすべてが同一です:ファームウェア、ベースバンド、ブートルームはすべて同じです。 2世代のiPhoneで、BootRomはブートローダをチェックします。ブートローダは、チェックする前にBOOTROMを検証し、ファームウェアをロードします。ファームウェアはキャリアロックを強制します。チームは信頼の連鎖を破ることを試みる価値がないという決定を下しました。開発したSIMロック解除コードは2つのセクションに分けられます。最初の部分は実際のソフトウェアのロック解除です。彼らはRAMで実行されている間、彼らはファームウェアにパッチを適用します。彼らのパッチは、キャ​​リアロックを強制するかどうかについてのファームウェアの決定木を修正します。後半はそれらがコードを注入することを可能にするエクスプロイトです。チームは、Appleが悪用穴にパッチを与えることができることを知っていますが、彼らのRAMのパッチ適用コードは常に機能するので、それを通して適用するための別の穴を見つけることの問題です。永久ロック解除オプションを購入するには(最初の世代のiPhoneのように)、実際のBOOTROMコードを調べる必要があります。

チームはAppleが実際に彼らの努力で彼らを助けたことをいくつか指摘した。安全性は徐々に巻き出されたので、彼らは最終的に隠されているものを見ることができました。ファームウェアは最初は暗号化されていませんでした。以前のバージョンのTrusted iTunes、それらが簡単に変更できるもの。すべてのユーザーランドアプリはもともとrootとしてranを実行します。

iPhone-devチームは、本当に信じられないほどの努力を払っており、新年の前夜にYellowsn0wリリースを楽しみにしています。

Back to top