越獄新聞

Electra 11.3.1 越獄工具目前面臨的挑戰與背後困難原因

看見不少越獄用戶到至今都一直期待 Electra iOS 11.2~11.3.1 越獄工具能夠提早釋出,甚至還有用戶每次看見開發者有什麼推特言論,心情就跟者七上八下,從 Ian Beer 釋出 iOS 11.3.1 漏洞後,算一算時間也已經過了約兩週時間,但目前 Electra iOS 11.2~11.3.1 越獄為何遲遲還無法推出呢?這之間似乎還有不少酸民承受不住耐心,在瘋狂的批評開發者收了錢就不想推出攻擊言論,而本篇就帶領大家一起來了解真實背後原因。

Electra 11.3.1 越獄工具目前面臨的挑戰與困難原因

Coolstar 是一位相當年輕的開發者,就如之前所敘述在他的推特上面,每天都會有他自己的言論,而有些言論與消息都是有可能會反反覆覆,之前說過的事情,可能到後續又會翻盤或是解決,因此沒必要每天關注,說不定還會看見他正在玩遊戲推文,那此時又會有人大批有時間玩遊戲沒時間搞定越獄,何必呢?等待吧!真正推出越獄後,瘋先生也會在當天內寫出越獄教學。

 

Electra iOS 11.2~11.3.1 越獄漏洞運用

Ian Beer 最初所發佈的兩個漏洞是 multi_path 與 empty_list,而 multi_path 是屬於最早釋出的漏洞,這個漏洞成功率比起 empty_list 來得更高,但必須依靠年付99美元開發者帳號才能夠實現,所以這漏洞對於普通沒有年費開發者帳號的越獄用戶來說是無法使用。

因此 Ian Beer 後續又推出 multi_path 漏洞代碼,這個漏洞就不需要年費開發者帳號,讓普通的用戶也能夠使用,但有個很嚴重缺點就是成功率非常低,假設有用過由 Pwn20wnd 推出的固定 G 值工具 Noncereboot1131 的用戶就會知道,攻擊失敗後就會導致設備重新啟動,所以就必續不斷重開機嘗試,且成功機率只有30%成功率,但是 Pwn20wnd 在後續也進行調整改進,讓成功率提升不少,不過目前 A11 處理器似乎成功率依舊是相當低。

 

為何 Electra 越獄工具拖這麼久還沒推出?

先前有開發者曾敘述過 Electra iOS 11.3.1 越獄工具,只要替換舊版 Electra 越獄工具內核漏洞就可以使用,也導致不少人誤以為只要將原本 async_wake 內核漏洞換成 multi_path 或 empty_list 漏洞,輕鬆換個程式碼而已,需要拖這麼久嗎?

這問題就出現在這,原本開發者也只是認為讓新款 Electra iOS 11.3.1 越獄工具替換成新的內核漏洞後就可以順利運用,不過意外發現到蘋果又偷偷替 iOS 11.3 以上加入了一個新的安全機制,就是所謂的典型的 Root partition(根分區)使用 APFS快照機制,這問題也是造了新版 Electra 越獄有更多問題需要解決。

 

iOS 系統分配機制

越獄(Jailbreaking)是獲取iOS裝置的最高權限許可權的技術手段。iOS裝置的最高權限許可權一般是不開放的,由於獲得了最高權限許可權,在越獄之前無法檢視的iOS的系統檔案也通通都可檢視與修改。

在 iOS 文件系統被劃分為兩個磁碟來儲存,一個被標記為”disk0s1s1″,另外一個則是被標記為”disk0s1s2″,簡單來說可以將他們視為 C 碟與 D 碟概念。

在 disk0s1s1 空間屬於比較小框架,被規劃用來儲存 iOS 系統本身App與系統文件檔案的位置,資料夾有 / Applications、/ System、/ Library 等。

另外一個 disk0s1s2 是用來儲存 /var 所有文件內容的大框架,會依照每個已經安裝的應用程式獨立成一個沙盒,額外剩餘空間是用來儲存用戶的照片、影片、第三方App的空間。

部分原生 App 是掛載在 disk0s1s2 內而且可讀寫,並限制每個應用程式只能針對自己的沙盤才擁有讀寫的權利,然而 disk0s1s2 還有部分功能也是只有靠 iOS 系統才有寫入權限。disk0s1s1 僅在系統更新、重刷與回復資料期間才擁有讀寫權限,其餘時間都是無法寫入。

 

Electra vs  iOS 11.3 安全緩解機制

在 iOS 11.2.6 或更高版本上,一但擁有了 task_for_pid(0)(由成multi_path 或 empty_list所提供),就可以讓disk0s1s1和disk0s1s2掛載讀寫權限,但在 iOS 11.3 上面,蘋果增強了防禦機制,針對remount Root 文件系統為可讀寫問題,引入新的緩解機制,當在第一次設定設備時,系統就會先快照一次 disk0s1s1 內所有的檔案。

導致每次重新啟動設備時,系統就會比對一次快照內的檔案,確認是否遭到更換或修改調整過,如果有如魔術一般的將改過的檔案,再將他們恢復成原本的檔案。導致如果設備有越獄後,每次重開機後,系統就會自動刪除存在 /Applications 下的 Cydia.app 資料夾與檔案,這也是 Coolstar 過去曾說過的「無越獄模式」,可能有機會利用這個機制讓 iOS 尚未激活越獄狀態前,環境都會變成無越獄模式狀態,能讓越獄用戶順利開啟會被偵測越獄的 App 或遊戲,也不會造成閃退或是跳出偵測警告視窗顯示「此設備是越獄狀態」導致無法使用問題。

但這機制還延伸出了更多問題,像是需要更大的儲存空間,如果是 16GB 設備可能會有問題,而 A10 以上處理器的設備可能會導致不能正常使用。

但這個機制還是有其他繞過的解決方法,畢竟這是一個蘋果新推出的安全緩解機制,相對還是會充滿各種不同的漏洞,目前有不少開發者發現 remount Root 漏洞如下

  • 開發者 @umanghere 發現 ur0 漏洞,能夠允許 disk0s1s1 在重新初始安裝並且允許永久性修改,這個漏洞也已經被 pwn20wnd 重新編寫成一個漏洞工具,最初重新初始化安裝被發現到一個相當嚴重的問題,就是造成 Coolstar 所用的 iPad 設備 WiFi 和藍牙功能不能正常運作,但最後版本也修改調整解決後,很有可能會被運用在 Electra iOS 11.3.1 最終的版本上。
  • 越獄開發者 Coolstar 也另外發現了一個能夠讓首次重新安裝的 0day 漏洞,當前蘋果也尚未修補這個漏洞,不過不會被使用在 iOS 11.2~11.3.1 上面,漏洞將會拖延至 iOS 12 越獄後才會使用,除非是被其他安全研究人員撞洞回報給蘋果修補後,就很有可能會被提早運用。也不可能會提早使用,雖然 Coolstar 能透過混淆代碼方式來隱藏 0day 漏洞,但是蘋果最厲害的地方就是可以反組譯越獄工具,並且從越獄工具中找出有漏洞的代碼,再來修補這些漏洞。
  • 開發者 @ SparkZheng 發現了另一個 Rootfs Remount 漏洞原始碼並且將它公布,能夠允許重新安裝最初「/」,後續由另一名越獄開發者 Johnathan Levin @Morpheus 也宣布要將這個漏洞進行編寫,並且會在  QiLin 中運用,此漏洞是沒有 ur0的問題,畢竟蘋果已經在 iOS 11.4 上修補。

補充說明:Rootfs remount是指可以讓Root文件系統重新掛載讀取/寫入。

最後 Coolstar 選擇了使用 @ SparkZheng 所釋出的漏洞,不過發現到 SparkZheng 的漏洞運用會有繞過旁路錯誤,目前也正在努力修復中,並且告訴等待越獄用戶,不需要這麼拼命注意越獄消息,早點休息睡覺養神比較好些。

未來越獄可能性

Electra iOS 11.2~11.3.1 是一定會推出 ipa工具來替設備越獄,但另還有第二種越獄方案將會使用由另一名安全研究人員 Niklas 發現到 VFS exploited 漏洞,是也可以被 Safari 上被調用,同樣也可以使用 tfp0,被簡稱為  JailbreakMe 5 ,可以透過網頁就能夠實現一鍵越獄。

目前還另一名越獄開發者 sparkey‏ 也已經在 iOS 10.3.x 實現此漏洞,並且透過影片來分享這份成果,不確定這個漏洞是否可以運用在 iOS 11 上使用

Electra 越獄團隊錯誤批評問答

  1. 既然蘋果已經在 iOS 11.3 上面增新的安全機制,為什麼最初 Coolstar 還要告訴大家趕緊升級至 iOS 11.3.1 上等待?
    • 答:因為沒有人知道在 iOS 11.3 上蘋果會新增安全機制,這些都需要等到 Coolstar 拿到越獄漏洞後才能夠知道,而且 Ian Beer 發佈 tfp0 漏洞也僅只有談到只支援 iOS 11.3.1 ,並沒有明確說明可以支援舊版本 iOS ,且時間剛好又是在 iOS 11.3.1 認證關閉那週。再說越獄開發團隊目前手上的也是 iOS 11.3.1 設備,更不可能會先推出 iOS 11.2~11.2.6 越獄工具,後面才來慢慢更新 iOS 11.3 ~ 11.3.1 ,到時都會將這些問題解決後才會一起推出。
  2.  我已經捐款給 Coolstar ,讓他可以買到 iPhone X ,現在都沒有推出越獄工具,那我想要退款
    • 答:這問題的確讓不少等待越獄的用戶等的不耐煩,但不能說我有捐款那就是一定要在期限內推出,Coolstar 也並沒有訂一個明確的日期說在哪天就會推出越獄工具,就算捐款了,似乎有少數用戶態度就好像我是大爺,必須立刻馬上給我短期內推出,不推出我就罵爆你。
      如果是屬於這種衝動派酸民級大爺用戶,儘早放棄越獄,避免後面造成白蘋果或當機,到時又開始要怪罪越獄工具不穩定,又會開始發作又想要來退費。而且要有正確的認知,付費與捐款是兩種行為模式,前這代表我今天很喜歡你的開發的作品,我想用金錢來跟你買,當然就會有後續的維修和保固期。但是捐款就不太一樣,捐款是取自於內心,類似做善事心甘情願的要捐錢給對方,舉例來說我今天捐款給某家基金會,然後發現這家基金會做不好,就打電話或寫信過去罵爆對方,並大聲說我要求要退款,這種做法真的很奇怪。
  3.  Electra iOS 11.2~11.3.1 何時才會出來,等好久了
    • 答:如果才等個兩週時間就算久,那肯定是沒有等過之前的越獄,還有比起這個更久的時間,甚至在 iOS 10 ~ iOS 11 的 iPhone 7 / 7 Plus 用戶,也已經等了一年以上,有的甚至還在等待 iOS 10.3.x 越獄趕緊支援 Cydia ,到現在作者越獄進度也是有一下沒一下的在開發,反而 Coolstar 速度比起其他 iOS 11 越獄工具不管是更新速度上都相對是最快的,況且才只有兩名開發者在開發,而當前蘋果也不斷替 iOS 11.3 增強安全性,可見後續越獄將會更加困難,除非有其他中國安全研究團隊能夠在背後偷偷幫助,但機率不高,他們大多是為了展示越獄和創造更多的話題而生,總而言之等待吧!基本 iOS 功能運用先摸熟透後,越獄後才能了解哪些功能是越獄後才能實現,就能明顯看得出差異。

參考來源:本篇文章是根據 Reddit 論壇上所發佈的文章,進行了解而轉成的敘述。

▼ 如果覺得本篇教學不錯,歡迎加入瘋先生粉絲團追最新教學技巧 ▼

發表評論