[Guida] Cos'è il jailbreak? Una storia senza fine

« Older Newer »

ShaÐe

Posted on 25/9/2011, 14:51

+10

User deleted

title

Era il "lontano" 29 giugno 2007 quando Apple aprì le porte agli smartphone con l'innovativo iPhone: un dispositivo capace di sostituire i telefoni cellulari nelle regolari mansioni che essi svolgevano prima della rivoluzione capitanata dalla mela morsicata. E passarono solo 11 giorni per far nascere il primo jailbreak della storia.

Extra. Note iniziali

E1. Cos'è il jailbreak?

E2. Un mondo di possibilità

1. Passato

1.1 L'inizio di un'era

1.1.1 Habemus iPod!

1.2 Un italiano al comando

1.3 Uno per tutti, tutti per uno!

1.3.1 Il cacciatore (solitario) di exploit

1.4 E' più lenta la luce o il suono?

1.5 Una serie di colpi mirati

1.6 Il ritorno del re

1.7 Tante promesse, nulla di fatto

1.7.1 Più duro del pane raffermo

1.8 Avanti un altro (:

2. Presente

2.1 La storia infinita

2.2 Semitetuntethered!

2.3 La regola del più forte

2.4 Un fix tira l'altro!

3. Futuro

3.1 Una fine annunciata. O forse no

3.2 L'ascesa che non conosce limiti

3.3 Tutto cambia, di nuovo

3.4 Considerazioni finali

4. Dati

4.1 Exploit: cosa sono e classificazioni

4.1.1 BootROM

4.1.2 Kernel/iBoot

4.1.3 Userland

4.1.4 Utilizzo

4.1.4.1 iOS 1

4.1.4.2 iOS 2

4.1.4.3 iOS 3

4.1.4.4 iOS 4

4.1.4.5 iOS 5

4.2 Programmi utilizzati

Extra. Note iniziali

Lo staff di iPodToucHack ricorda che quest'opera, come tutto il materiale che viene creato e pubblicato all'interno del forum, è licenziata con Creative Commons Attribuzione 3.0 Italia License.

Tu sei libero di riprodurre, distribuire e comunicare ad altri quest'opera, alle seguenti condizioni:

Attribuzione: Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera.
Non commerciale: Non puoi usare quest'opera per fini commerciali.
Non opere derivate: Non puoi alterare o trasformare quest'opera, né usarla per crearne un'altra.

Sei comunque autorizzato a riprodurre il contenuto di quest'opera, seguendo le Linee Guida proposte in questa pagina.

Torna al menù

E1. Cos'è il jailbreak?

Il Jailbreaking (in italiano: evasione) è il processo applicabile ad un dispositivo che permette di installare meccanismi di distribuzione di applicazioni e pacchetti alternativi a quello ufficiale dell'App Store

Così esordisce Wikipedia in merito al Jailbreak. Andiamo ad approfondire la questione più in profondità.

Con la parola Jailbreak si indica il processo di rottura di alcune misure di sicurezza presenti nel Sistema Operativo di qualsiasi dispositivo, mobile o fisso, che determina la capacità di installare Software di terze parti (ovvero distribuito da sviluppatori indipendenti) sul dispositivo stesso.

Più precisamente e con un linguaggio prettamente avanzato, esso consiste nella modifica del file /etc/fstab, che controlla l'accesso a lettura e scrittura delle partizioni di Media e di root, per poter eseguire il mounting del FileSystem come lettura-scrittura, ovvero garantendo il pieno accesso a tutto il filesystem. Jailbreak più moderni includono patch del kernel per aggirare alcuni controlli della firma e altre restrizioni. Individuate le vulnerabilità e creato un exploit, bisogna costruire un payload che automatizzi la procedura effettuata dall'exploit; infine nasce il jailbreak come tutti noi lo conosciamo.

Il termine jailbreak applicato ad un sistema informatico nasce il 10 luglio 2007, quando alcuni hacker indipendenti hanno scoperto la possibilità di installare suonerie personalizzate nell'allora iPhone EDGE, il primo modello di iPhone uscito dalle fabbriche di Apple, Inc..

L'iPhone di prima generazione rappresentava una svolta nell'ambito degli smartphone: ma Apple ha imposto numerosi blocchi con la sua politica chiusa. Il jailbreak era utile proprio per questo: se prima l'iPhone e iOS 1.x non consentivano l'installazione di software di terzi, al contrario di tutti gli altri sistemi operativi del mondo, con il jailbreak la cosa risultava finalmente possibile.

E tuttora oggi: Apple ha imposto una particolare restrizione per il suo App Store, un mercato virtuale da dove si scaricano centinaia di migliaia di applicazioni ogni giorno, che consiste nel divieto assoluto di interazione con il sistema operativo e con i suoi componenti. Più nel dettaglio, l'applicazione che viene inviata ad Apple per essere accettata e distribuita nello Store deve agire solamente a livello /var/mobile/Applications. Se non è così, l'applicazione viene respinta: per questo, il jailbreak è fondamentale per installare applicazioni che modificano, ovviamente in positivo, il sistema operativo.

Facciamo un esempio più pratico che ci schiarisca le idee. iOS possiede un modulo bluetooth 2.1 sia per gli iPod touch che per gli iPhone, ma di fabbrica è bloccato al solo utilizzo di collegamento a dispositivi bluetooth (cuffie, stereo, ecc...) e per il collegamento peer-to-peer per il gaming sugli iDevice.

L'invio di files multimediali (ad eccezione delle foto) non è consentito, per un'ovvia ragione: se così fosse, tutti potrebbero inviare un'applicazione scaricata dall'App Store ad un altro dispositivo, che potrebbe installarla senza pagare il prezzo di tale app. Idem per la Musica ed i Video.

Ma il jailbreak ci viene in aiuto, grazie a iBlueNova per iOS 3, Celeste per iOS 4 e AirBlue Sharing per iOS 5, scaricabili nel Cydia Store (un App Store alternativo): entrambi i programmi, sebbene con qualche bug, permettono l'invio e la ricezione di tutti i files multimediali da iDevice a qualsiasi dispositivo montante un modulo bluetooth.

Per effettuare un jailbreak esistono programmi detti jailbreak tools e spesso abbreviati in tools: sono quasi sempre programmi per Windows o Mac e necessitano di particolari procedure per sbloccare il proprio dispositivo. Tali programmi vengono presi in esame nel punto 4.2 (link non disponibile al momento) della guida.

Ci sono inoltre più tipologie di jailbreak: semi-tethered, tethered e untethered. Le differenze sono spiegate nel punto 2.2 della guida.

Torna al menù

E2. Un mondo di possibilità

Cosa possiamo realmente fare effettuando un jailbreak? Ci si apre un mondo di nuove possibilità, tutte da scoprire!

Infatti sono tantissimi i programmi che migliorano il sistema operativo sia dal punto di vista funzionale (quindi legato alla batteria o alla potenza del processore) sia dal punto di vista operativo (ovvero dal lato delle utilità per l'utente). Tra le innumerevoli possibilità troviamo la possibilità di:

personalizzare completamente l'interfaccia del dispositivo

migliorare il Multitasking

migliorare le prestazioni della batteria

modificare pesantemente il modo di interagire con le applicazioni e con la Homepage

eseguire un downgrade

eseguire un upgrade ad un Firmware altrimenti non più installabile

ottimizzare le prestazioni del processore per velocizzare l'intero sistema

eliminare files inutili e talvolta in conflitto con alcune applicazioni, per aumentare le prestazioni generali del sistema

utilizzare il proprio dispositivo come Hotspot WiFi

ruotare la SpringBoard in stile iPad

registrare tutto ciò che avviene sullo schermo del proprio dispositivo

avere accesso alle beta di nuovi major update del Firmware senza pagare un account da sviluppatore

e tanto altro ancora!

Le possibilità sono davvero illimitate: tra le applicazioni presenti su Cydia, lo store alternativo da cui si scaricano tali apps, troviamo circa 2.000 tweaks, utilità che migliorano svariati piccoli aspetti sia dell'interfaccia grafica che delle prestazioni.

Non ci sono controindicazioni nell'effettuare un jailbreak: non esiste la possibilità di rompere definitivamente il proprio melafonino. Talvolta sarà necessario ripristinare e cancellare tutti i dati presenti in iPod touch o iPhone, ma l'eventualità è remota ed equivale a poco più dello 0.01%. Nei prossimi capitoli vedremo un po' la storia del jailbreak durante questi 4 anni di vita, analizzeremo la situazione attuale e faremo un punto della situazione sul futuro del jailbreak. Infine vedremo alcuni dati su exploit (falle di sicurezza), programmi e Firmware.

Torna al menù

1. Passato

Il jailbreak è, ufficialmente, il processo ad un dispositivo che permette di installare meccanismi di distribuzione di applicazioni e pacchetti alternativi a quello ufficiale dell'App Store. E' ciò che si legge su Wikipedia nella pagina dedicata a questo speciale quanto unico fenomeno che ha interessato fin dal primo iOS (iPhone Operating System, Sistema operativo per iPhone) i prodotti della società californiana.

Torna al menù

1.1 L'inizio di un'era

Sono infatti solo 11 i giorni che passano prima di veder nascere il primo jailbreak della storia, un'idea nata dal desiderio di migliorare le funzioni del primordiale iPhone, che al tempo di iOS 1.0 mancava di moltissime "features". E proprio questa deficienza induce gli hacker di tutto il mondo a focalizzare l'attenzione sulle falle di sicurezza dentro al sistema informatico che, per scelta della società di Cupertino, era destinato a rimanere chiuso, ovvero senza la possibilità di installare applicazioni di terze parti create da sviluppatori indipendenti.

Una sfida che dapprima concentrò tutte le forze disponibili sulla prima versione di iOS e sul neonato iPhone EDGE di prima generazione.

Il primo jailbreak universale della storia: JailbreakMe 1.0, noto come AppSnapp

Torna al menù

1.1.1 Habemus iPod!

Passano soltanto 3 mesi e prende vita un nuovo dispositivo nato dalla fervida mente di Steve Jobs, il fondatore e personaggio più importante di casa Apple. Si tratta del nuovissimo iPod touch, che rappresenta un po' il culmine della storia di una gamma storica che cambiò il modo di ascoltare la musica: iPod.

Tale dispositivo è del tutto simile ad iPhone: differisce soltanto nell'impossibilità di inviare messaggi e telefonare, insieme a piccoli accorgimenti hardware che ne fanno calare il prezzo rispetto al già costoso - ma richiestissimo - melafonino di prima generazione. Un nuovo dispositivo significa un altro OS e questo significa doppio lavoro per gli hacker, che però si dimostrano sempre più interessati in questa sfida rivoltagli. Tuttavia è ancora presto per far vedere la luce ad un prematuro jailbreak universale.

ipodtouch
La schermata Home di iPod touch 1G

Torna al menù

1.2 Un italiano al comando

Anche se JailbreakMe segna l'inizio del jailbreak 4 all (letteralmente, jailbreak per tutti i dispositivi), è un italiano, Zibri Eskobar, a dare un'impronta indelebile al processo di sblocco dei device. Egli riesce a trovare una chiave nel system disk che risulterà essere di fondamentale importanza per i successivi jailbreak nel corso degli anni. Siamo sul tardo Febbraio quando l'italiano rilascia un jailbreak stabile, denominato ZiPhone, che sblocca tutti i dispositivi su firmware 1.1.3.

Precedentemente, JailbreakMe utilizza un metodo piuttosto singolare, comunque funzionante al 100%, che consiste nell'eseguire un downgrade dal firmware 1.1.1 al 1.0.2, iniettare il codice di sblocco in questo iOS ed infine aggiornare nuovamente all'1.1.1 senza perdere la modifica. Un sistema complesso organizzato da ben 9 sviluppatori.

Torna al menù

1.3 Uno per tutti, tutti per uno!

Arriviamo dunque alla nuova rivoluzione: Apple mostra al mondo il nuovo iPhone 3G (siamo agli inizi di Luglio 2008) e un gruppo di hacker, denominato iPhone Dev Team, fa la sua apparenza in questo universo: con PwnageTool, un programma sviluppato unicamente per Mac, il jailbreak conosce un'interfaccia grafica più o meno intuitiva. Passando per QuickPwn e Unofficialsn0w 2.0, tale Team riesce a spiccare e diviene un punto di riferimento per tutti i jailbreakers del mondo. Il metodo per lo sblocco rimane quello del downgrade, jailbreak e upgrade portato da JailbreakMe: iOS 2, al tempo chiamato iPhone OS 2, rimane jailbroken fino all'arrivo del temutissimo major update, iOS 3. Un aggiornamento importante, rilasciato come di consueto in Settembre, con cui Apple riesce a contrastare tutti gli sblocchi effettuati finora ed inoltre chiude tutti i buchi utilizzati per iniettare il codice malevolo.

Ma deve ancora fare i conti con qualcuno.

geohot
GeoHot, il ragazzo prodigio contro un colosso multinazionale

Torna al menù

1.3.1 Il cacciatore (solitario) di exploit

E' il momento di presentare a chi ancora non lo conosce George Hotz, meglio noto come GeoHot: un ragazzo che all'età di 19 anni approda nel mondo dell'hacking mettendo a frutto le sue ampie conoscenze in merito. Inizia nel 2008 cimentandosi con un iPhone EDGE e dando un grande contributo al Dev Team scoprendo gli exploit utilizzati nell'intero processo.

Dopo una breve pausa che lo portò fuori dalle scene, tornò il 3 Luglio 2009 pubblicando purplera1n, un programma inzialmente ideato per Windows che permette di eseguire un jailbreak untethered su tutti i dispositivi, compreso il nuovo arrivato iPhone 3GS, con iOS 3.0. Utilizzò in questa procedura un exploit chiamato iBoot Environment Variable Overflow, uno dei pochi buchi nella bootrom di ogni dispositivo esistente all'epoca (e quindi non chiudibile tramite un aggiornamento del Firmware).

ibootvariable
Il codice di esecuzione di iBoot Environment Variable Overflow implementato in purplera1n

Tuttavia tale exploit necessitava di altre falle per poter effettuare un jailbreak untethered: quindi Apple con iOS 3.1 elimina ogni possibilità di jailbreak. Ma grazie all'usb_control_msg(0x21, 2), un exploit importantissimo che permette l'esecuzione di codice non firmato tramite un buco nella bootloader, GeoHot superò anche questo ostacolo. E' l'era del pwn4life, il jailbreak a vita, che grazie alla combinazione di exploit a livello bootrom (tra cui lo stesso usb_control, chiamato anche 24kPwn, e ARM7 Go) fa felici i possessori della prima e seconda generazione di iDevice. Meno contenti ma comunque toccati da questo importante momento furono gli utenti con un iPhone 3GS o iPod touch 3G: per loro è stato riservato un pwn4life solo tethered, ovvero solo parziale. Il tool si chiamava blackra1n.

GeoHot non si è solamente confrontato con il lato jailbreak. Ha avuto parecchio a che fare con la BaseBand dei dispositivi Apple fin dal primo iPhone, sbloccandone parecchie grazie agli innovativi metodi da lui scoperti (lo sblocco della BaseBand garantiva e garantisce tutt'oggi l'esecuzione di qualunque tipo di SIM Card in un iPhone jailbroken). I suoi più famosi programmi che sbloccavano tali particolari processori furono purplesn0w e blacksn0w, rilasciati entrambi in parallelo agli omonimi purplera1n e blackra1n, con finalità differenti ma risultati ugualmente utili e collegati fra di loro (per effettuare l'unlock della SIM è necessario effettuare un jailbreak del device).

Piccola curiosità: GeoHot è sempre stato solito inserire, come da buon hacker, un segno del suo lavoro in ogni sua creazione. In purplera1n e blackra1n troviamo il suo volto come immagine di caricamento del sistema, mentre in limera1n durante il processo di jailbreak si può leggere chiaramente Copyright GeoHot, così come in molti exploit trovati dall'hacker, in cui inserisce spesso comandi in bash come echo GeoHot e echo Copyright.

Torna al menù

1.4 E' più lenta la luce o il suono?

Grazie al lavoro del Dev Team e di tutti i suoi componenti (sono ben 36 le persone coinvolte nel corso degli anni, 21 presenti nel 2011), iOS 3 viene jailbreakato in un batter d'occhio in tutte le sue riproposizioni minori (quindi iOS 3.0, 3.0.1, 3.1, 3.1.1, 3.1.2 e 3.1.3). L'exploit principale utilizzato è proprio 24kPwn, di cui abbiamo già parlato in precedenza; tale falla permise di rilasciare i vari tools (tra cui blackra1n e spirit) praticamente in contemporanea con l'uscita dei Firmware di casa Apple.

E' necessario ora parlare un po' di Spirit, un programma sviluppato dalla mente geniale di Comex, hacker coinvolto precedentemente nella creazione di homebrew per la console Nintendo Wii. Spirit venne reso disponibile al download il 3 Maggio 2010 e permise a tutti gli utenti con iOS 3.1.2 fino ad iOS 3.2 (per iPad) - incluso iOS 3.1.3 - di effettuare un jailbreak untethered su tutti i propri dispositivi. Dato che 24kPwn non era compatibile con iPod touch 3G e iPhone 3GS, Spirit utilizzò exploit puramente userland, ovvero propri del Firmware e non del dispositivo. Tale caratteristica permise ad Apple di risolvere il problema nel quarto major update di Giugno.

spirit
Una schermata di Spirit, il tool per il jailbreak di iOS 3.1.2 e 3.1.3

Una particolarità che rese unico questo tool fu la possibilità di eseguirlo in ambiente Mac, Windows e a sorpresa Linux: mai un programma per il jailbreak fu possibile utilizzarlo su sistemi basati su Linux. L'obiettivo è stato raggiunto da p0sixninja, esponente del Chronic Dev Team.

Torna al menù

1.5 Una serie di colpi mirati

Sempre più jailbreakers si unirono alla comunità: al 2010, essa contava più di 1.000.000 di utenti e la pratica si continuava a diffondersi a macchia d'olio. Contribuì a questa crescita anche la decisione della corte degli Stati Uniti d'America che dichiarò il 26 Luglio 2010 legale il jailbreak, almeno negli USA, modificando la legge sul copyright.

Questo costante aumento di interesse per lo sblocco dei propri dispositivi fece sicuramente preoccupare Apple, l'azienda produttrice: a tal punto da dichiarare guerra aperta agli hacker di tutto il mondo, rendendo le possibilità di entrare nel proprio sistema operativo sempre minori. Un primo, prevedibile colpo fu quello di rilasciare iPhone 4 e iOS 4 completamente patchato (invulnerabile agli attacchi precedenti) e con numerosissimi bugfix. Prima di allora l'azienda di Cupertino diede meno importanza alle falle di sistema, tuttavia con l'interesse comune riguardo la violazione di iOS capì che bisognava lavorare sodo per assestare una serie di colpi mirati. Così decise di bloccare il downgrade, procedura permessa fino ad iOS 3, in modo tale da non permettere agli utenti di installare un Firmware precedente e quindi jailbroken. Una batosta ad ampia scala che condannò i nuovi dispositivi all'aggiornamento forzato. Tuttavia la situazione si risolse in parte con l'approdo degli SHSH, certificati univoci che se salvati permisero e permettono anche oggi di tornare indietro ad un iOS jailbreakabile.

In un secondo importantissimo momento venne alla luce iPod touch 4G, che montava lo stesso processore A4 del corrispondente melafonino e che risultava invulnerabile a tutti gli exploit bootrom fino ad allora conosciuti e utilizzati. Si prevedevano tempi lunghi per effettuare un jailbreak untethered sia sulla terza generazione, ma soprattutto sulla neoarrivata quarta. La mela morsicata non aveva però ancora fatto i conti con il ritorno del re.

Torna al menù

1.6 Il ritorno del re

geohot2
George Hotz oggi è l'esperto di sicurezza informatica per Facebook

Il re in questione è il solito GeoHot, di cui abbiamo già parlato. Egli ritorna nella scena, dopo un abbandono senza preavvisi, distinguendosi per il famoso e vitale limera1n, exploit trovato dal giovane hacker statunitense nella bootrom di iPhone 4 e iPod touch 4G (processore A4). Da non confondere con l'omonimo limera1n (tool con il quale fu possibile eseguire un jailbreak untethered di iOS 4.1), la falla di sistema scoperta da GeoHot che tuttora sblocca, seppur in maniera tethered in assenza di altri exploit, i sistemi operativi attuali che vengono regolarmente rilasciati da Apple. Un punto di riferimento davvero importante, che garantì dal 9 Ottobre 2010 in poi un jailbreak a vita per tutti i dispositivi conosciuti fino ad allora (1ª, 2ª, 3ª, 4ª Generazione + AppleTV 2G + iPhone 4 CDMA) su iOS 4.0 o superiore. Tutti i programmi attuali utilizzano come base l'exploit di GeoHot, sebbene viene quasi sempre accompagnato da exploit di tipo userland per ottenere un jailbreak untethered. Dopo questo suo ritorno, che tra l'altro si fece beffa del Chronic Dev Team (in breve, essi stavano per rilasciare Greenpois0n, tool capace di sbloccare iOS 4.1 con exploit userland, quando GeoHot li battè sul tempo rilasciando limera1n), il ragazzo prodigio decise di ritirarsi dalla scena per dedicarsi alla PlayStation di Sony. Al momento è un impiegato per Facebook.

Torna al menù

1.7 Tante promesse, nulla di fatto

22 Novembre 2010: il giorno della "disgrazia". Apple rilasciò iOS 4.2.1, aggiornamento che bloccò nuovamente tutti i jailbreak untethered per i dispositivi più recenti (3ª e 4ª Generazione). Anche JailbreakMe 2.0, la riesumazione di AppSnapp, venne reso inoffensivo (con un aggiornamento precedente). E fu questo l'inizio dell'agonia per i jailbreakers di tutto il mondo.

Il motivo di tanta drammaticità è presto detto: iOS 4.2.1 è un Firmware incredibilmente duro e ostico da violare - vedremo successivamente perchè - e per vedere un tool capace di jailbreakare completamente questo sistema operativo ci vogliono mesi e mesi di attesa.

A riguardo, Comex promise un aggiornamento per Natale di Redsn0w con tali caratteristiche, nel frattempo giunto alla versione 0.9, ma tra promessa e realtà c'è un divario enorme. L'appuntamento saltò 3 volte: in precedenza previsto per metà Dicembre, in seguito promesso per Natale ed infine dato come certo per l'inizio dell'anno nuovo. Tre date con un nulla di fatto: il primo jailbreak untethered per iOS 4.2.1 dovette attendere il 7 Febbraio 2011, dopo 77 giorni di buio. Greenpois0n venne aggiornato alla versione RC5 per sbloccare tutti i dispositivi in maniera untethered sul nuovo OS di Cupertino. Comunque Redsn0w venne aggiornato in svariate beta esclusive per Mac lungo le 11 settimane di attesa con cui era possibile jailbreakare il Firmware 4.2.1 con alcuni effetti collaterali, tra cui la perdita del bluetooth e dei servizi di localizzazione.

Torna al menù

1.7.1 Più duro del pane raffermo

iOS 4.2.1 è stato sicuramente il Firmware più ostico della storia del jailbreak, fatta eccezione per gli ultimi iOS 4.3.4 e 4.3.5 che però sono da considerare speciali.

77 giorni, 11 settimane esatte, 2 exploit utilizzati, 21 persone coinvolte. Pochi dati ma molto significativi che testimoniano il lavoro dietro ad un jailbreak untethered sempre più sfuggente nella situazione del 2011. Alla base di tutto c'è sempre il solito limera1n, ma a renderlo uno sblocco completo ci pensa l'HFS Legacy Volume Name Stack Buffer Overflow, un importante exploit che era stato inizialmente pensato per il jailbreak di iOS 4.3 ma poi, essendo venuti a conoscenza dell'implementazione del protocollo ASRL che involontariamente chiudeva la falla HFS nell'aggiornamento, è stato utilizzato per iOS 4.2.1, con grande felicità degli utenti.

ios4.2.1
Il logo di Greenpois0n, il primo tool capace di jailbreakare iOS 4.2.1

Torna al menù

1.8 Avanti un altro!

Arriva la primavera, che porta con sè iOS 4.3 e tutti i derivati.

Stefan Esser, nome in codice i0n1c, è il più veloce nella sfida al jailbreak: gli ci vogliono pochi giorni dopo il rilascio di iOS 4.3 per effettuare un jailbreak untethered su tale versione e, quatto quatto, le vulnerabilità da lui trovate non vengono sistemate da Apple nei suoi successivi 3 Firmware: iOS 4.3.1, 4.3.2 e 4.3.3. Ne consegue che per questi tre Sistemi Operativi il jailbreak sia uscito prima della stessa release dei Firmware: un paradosso senza fine :=D:

Anche altri talentuosi si cimentano con la velocità. Nicholas Allegra, 19enne meglio noto come Comex, riesuma per la seconda volta (l'aveva già fatto nel 2010 con la versione 2.0) JailbreakMe abbreviato JBMe 3.0, un tipo particolare di jailbreak: si tratta di utilizzare lo stesso dispositivo connesso ad una rete WiFi o 3G per iniettare il codice malevolo attraverso falle in Safari, precisamente nella gestione dei files PDF. Tale caratteristica dona a JBMe funzionalità uniche, tra cui una velocità impressionante (basti pensare che sono sufficienti solamente 15 secondi per installare Cydia e tutto il resto) e una semplicità altrettanto spaventosa (necessita di solamente un click). Inoltre è il primo ad attaccare iPad 2 e il suo nuovo processore A5: peccato che utilizzi solamente falle superificiali che l'azienda di Cupertino poi chiuderà con i successivi due aggiornamenti, iOS 4.3.4 e 4.3.5. Attualmente Comex lavora per Apple stessa come consulente di sicurezza per i sistemi operativi, cosa che non è stata ben accetta nell'ambiente dello sblocco.

La homepage del sito jailbreakme.com su un iPad 2, tramite la quale è possibile effettuare il jailbreak in maniera semplice e veloce

Torna al menù

2. Presente

Ad oggi la vasta community del jailbreak conta più di 10.000.000 di utenti accertati in tutto il mondo. E' stato possibile stabilire tale dato grazie a JBMe 3.0, il tool di comex, che attualmente è stato utilizzato da una moltitudine di utenti singoli vicina a quell'incredibile numero, ma si stimano essere molti di più.

Analizziamo ora la situazione contemporanea per vedere come si sta evolvendo questo incredibile universo!

Torna al menù

2.1 La storia infinita

iOS 4.3.5: è il Firmware universale installabile nel presente dalla maggior parte dei dispositivi Apple, tra cui iPhone, iPod touch e iPad di più recente fabbricazione. Un Firmware pressochè spazzatura: infatti, tale iOS apporta solamente una soluzione di sicurezza legata ai certificati SHSH per il ripristino di ogni dispositivo. E il jailbreak per questo sistema operativo è solamente semi-tethered (nel prossimo capitolo vedremo qual è la differenza tra un tipo di jailbreak ed un altro): essendo stato rilasciato dopo la presentazione del major update iOS 5 Beta, gli hacker hanno giustamente deciso di non sprecare inutilmente gli exploit a loro disposizione per riservarli in futuro alla prima release del nuovo sistema operativo made in Cupertino. Altrimenti gli sforzi, sempre più intensi, per trovare tali falle risulterebbero completamente vani e bisognerebbe attendere ancora di più per far vedere la luce al primo jailbreak del quinto aggiornamento maggiore di software Apple.

i0n1c
Il complesso sistema utilizzato da i0n1c per violare iOS 4.3.1

Una scelta piuttosto obbligata: i buchi nei sistemi operativi odierni sono sempre meno, a causa dell'inarrestabile avanzamento del progresso, e per intrufolarsi al loro interno gli hacker devono faticare ogni giorno di più. Basti pensare che solitamente un intrusione nel disco di sistema necessitava solamente del jack a 30 pin in dotazione a tutti gli utenti di iPhone o iPod touch, mentre per violare iOS 4.3.1 i0n1c ha dovuto costruire, partendo da tale jack di collegamento, un vero e proprio ponte telematico hardware utilizzando materiali, seppur economici, esterni. A tal proposito lo stesso Stefan ha pubblicato una bellissima guida illustrata, chiamata iOS Kernel Exploitation, nella quale espone tutti i passaggi che gli sono serviti a jailbreakare il sistema operativo di Apple: potete scaricare da qui il PDF per approfondire oppure semplicemente per curiosità.

Torna al menù

2.2 Semitetuntethered!

L'approfondimento è disponibile su iDeviceLAB a questo indirizzo.

Torna al menù

2.3 La regola del più forte

Apple in tutti questi anni non è stata sicuramente ferma a guardare, come abbiamo già visto nei capitoli precedenti. Tuttavia in questi ultimi tempi sembra che l'azienda californiana stia per cambiare strategia: se finora ha cercato di contrastare a tutti i costi gli attacchi dei pirati informatici chiudendo il maggior numero di falle possibili, adesso prova a combattere il nemico con la sua stessa arma.

E' infatti una notizia recente quella che coinvolge Comex, alias Nicholas Allegra, il fondatore di JBMe e personaggio importantissimo per la scena dello sblocco. Il ragazzo sarebbe stato assunto da Apple come consulente sulla sicurezza informatica per sistemi operativi mobili - quindi per iOS. Una news un po' inaspettata che coglie di sorpresa tutto il mondo del jailbreak; tuttavia MuscleNerd e gli altri hanno espresso la loro piena comprensione e hanno augurato al diciannovenne di New York una lunga carriera nei laboratori della mela morsicata. Resta comunque il fatto che si è persa per strada una pedina importante in questa lunga guerra tra fazioni informatiche opposte.

E a proposito di MuscleNerd, si vocifera da un po' anche del suo abbandono dalla scena, sempre in favore di Apple. L'hacker ha recentemente pubblicato un'immagine mentre inquadra una maglietta con scritto: "Ho visitato il campus Apple. Ma non sono autorizzato a dire nient'altro". Tanti jailbreakers si chiedono tuttora se l'americano può lasciare il mondo che lo ha lanciato verso il successo e dedicarsi a potenziare le difese del nemico a tempo pieno: tuttavia sono solamente rumors e al momento non è stato dichiarato nient'altro nè da Apple nè dal giovane pirata.

Di certo la questione sta prendendo un peso decisivo e se l'azienda di Cupertino continuerà a ingaggiare membri noti dell'universo jailbreak, gli utenti attenderanno sempre più per sbloccare i propri amati melafonini. Una battaglia che comunque sembra non avere mai fine: abbiamo perso Comex, ma abbiamo recentemente guadagnato i0n1c, un ottimo elemento capace di tante cose.

Torna al menù

2.4 Un fix tira l'altro!

iOS 5: a cosa vi fa pensare? Un'aggiornamento che ha portato iPhone OS nuovamente ad essere il più avanzato sistema operativo mobile di sempre. Ma la via per la perfezione è ancora lunga: sono ancora tante le imperfezioni nel sistema operativo di Apple, come per esempio un bug riguardante la batteria (già si parla di BatteryGate per i nuovi iPhone 4S).

Vedremo nei prossimi capitoli la situazione del jailbreak nell'attuale stato e analizzeremo anche molti aspetti passati in secondo piano durante i primi 2 mesi di iOS 5.

Torna al menù

3. Futuro

E adesso? Cosa ci riserva il futuro per i nostri dispositivi? L'unica cosa certa è che d'ora in avanti l'attesa per un jailbreak untethered si farà sempre più lunga. iOS 5 ha portato non solo tante novità, ma anche visibili difficoltà per gli hacker coinvolti nel suo jailbreak. Il Chronic Dev Team aveva annunciato di essere in possesso di un jailbreak untethered di iOS 5 ancor prima che venisse rilasciato al pubblico, ma 2 bug critici sono stati aggiustati con l'ultima beta, che quindi ha completamente smentito il gruppo di hackers. E dal 12 Ottobre, giorno di uscita per iOS 5.0, non si è ancora arrivati ad un jailbreak untethered.

Vedremo nei prossimi 4 capitoli cosa ci riserva il futuro, basandoci sul passato e su considerazioni frutto della mia esperienza personale.

Torna al menù

3.1 Una fine annunciata. O forse no

Se pensiamo a tutte le perdite recenti (GeoHot e Comex, come abbiamo visto due padri fondatori e assoluti protagonisti della scena), potremmo chiudere subito bottega e dire: è la fine per il jailbreak come lo conoscevamo prima. Ed effettivamente quest'affermazione non è del tutto scorretta: ora che i due più grandi hackers che la storia abbia mai visto si sono ritirati, le possibilità di eseguire uno sblocco completo sul proprio dispositivo sono drasticamente calate. Ma è presto per dire la parola fine a questo fantastico mondo.

Non solo hackers che se ne vanno, ma anche Firmware che vengono. iOS 5, come abbiamo già detto, porta sicurezza più elevata e minori bug da sfruttare per i nostri scopi. iPhone OS si perfeziona con gli anni ma non per questo dobbiamo disperare; il vivaio di hackers è costante (come ci dimostra la new entry Stefan Esser) e i veterani non demordono (MuscleNerd, p0sixninja e ih8sn0w sempre in prima linea). Gli uomini non mancano in questa battaglia, piuttosto manca il tempo: i jailbreakers divengono sempre più impazienti ogni giorno che passa, pensando che sia tutto dovuto. Gli hackers lavorano spesso anche giorno e notte per tutti noi, non bisogna dimenticarlo: ma soprattutto lavorano gratis e campano di sole donazioni spontanee. E' veramente una vergogna vedere commenti su Twitter offensivi, indecenti, pieni di scherno e di spudoratezza. Noi tutti dovremmo (e dovremo) aspettare pazientemente che queste magnifiche persone lavorino ad un jailbreak stabile, sicuro e disponibile per tutti: questo messaggio è spesso poco compreso o del tutto ignorato.

Torna al menù

3.2 L'ascesa che non conosce limiti

Il jailbreak è diventato negli anni un fenomeno di portata mondiale che si è portato al seguito una vastissima fetta di popolazione. Sicuramente la forte personalità di Apple ed i suoi prodotti rivoluzionari sempre più venduti hanno contribuito molto nel conseguimento di un importante traguardo: si stimano più di 20.000.000 di jailbreakers nel mondo, cifre da capogiro per una procedura sempre più in voga. L'ultimo jailbreak di Luglio - JailbreakMe 3.0 - ha attirato quasi 4.000.000 di nuovi jailbreakers da tutto il globo in soli 3 giorni, mentre il web ospita quasi 10.000 siti web - chi più conosciuto chi meno - inerenti all'argomento.

E' tra i giovani che il jailbreak dilaga e a volte fa crescere sviluppatori bravissimi (ricordiamo i vari Filippo Bigarella, qwertyuiop, _root_ e tanti altri di scuola italiana) che possono intraprendere una propria carriera da informatici. Quindi questo fenomeno continua a stupire e ogni giorno cresce sempre più: tuttavia tra le tante "specializzazioni" che si sono andate formando all'interno del sistema (per fare qualche esempio, programmazione per iPhone, grafica, webmasters), non mancano le note dolenti. E' il caso di citare la pirateria a cui è associato molto spesso il termine jailbreak.

Nato per indicare solo una rottura di misure di sicurezza, il jailbreak NON è mai stato inteso come pirateria ma purtroppo il ramo malato dell'albero è in continua espansione, a prescindere dall'etica sbagliata che non viene recepita dai pirati informatici. Installous, il più grande portale di cracks del pianeta, ha iniziato praticamente in concomitanza con la nascita di ciò a cui è legato maggiormente, ma non supportato da esso: il jailbreak. Da questo archivio, per chi non lo conoscesse, è possibile scaricare applicazioni disponibili in AppStore "curate", ovvero mancanti delle misure di sicurezza introdotte da Apple - ovviamente gratis. Oltre a recare un enorme danno al mercato delle apps - costantemente in crescita, basta citare solamente le 15.000.000.000 di applicazioni scaricate finora da AppStore - e ai suoi sviluppatori, la procedura è illegale: proprio in questo periodo Apple ha cominciato ad inviare, sebbene con qualche mese di ritardo, le prime denunce legate alla pirateria a ben 600.000 utenti in Francia che usufruiscono abitualmente del servizio. Multe salate che probabilmente faranno riflettere sia le persone denunciate, sia le persone che hanno avuto a che fare con tutto ciò.

Torna al menù

3.3 Tutto cambia. Di nuovo

Il 2011 verrà forse ricordato come l'anno peggiore della storia del jailbreak: patch, major update, nuovi dispositivi e niente exploit. Tanti i punti interrogativi ma poche risposte: vediamo di darne un po' a chi ha ancora le idee un po' confuse.

iPad 2 e iPhone 4S sono le due principali novità del palcoscenico: presentati e commercializzati in periodi dell'anno completamente diversi, appartengono entrambi alla "5G", la quinta generazione di dispositivi Apple. Incorporano il nuovo Chip A5, processore dual-core che garantisce stabilità, prestazioni nettamente superiori al predecessore A4. Purtroppo comprendono anche un nuovo tipo di BootROM - in stretta relazione con il processore - che ovviamente è invulnerabile all'exploit limera1n, di cui potete leggere una precisa scheda tecnica qui.

Senza questo exploit, il dispositivo non può godere del jailbreak, nemmeno quello tethered (che è determinato da limera1n). Ecco perchè per questi due dispositivi si è ancora alla ricerca di un bug nella BootROM da sfruttare per effettuare perlomeno un jailbreak tethered, ed ecco perchè non è disponibile un jailbreak - eccetto per un unico Firmware, iOS 4.3.3, disponibile soltanto per iPad 2. Quando si potrà effettuare un jailbreak, anche solo tethered, su questi iDevice? Nessuno lo sa, ma qualche risposta la si può dare. MuscleNerd ha più volte dichiarato di esser riuscito ad eseguire un jailbreak sul nuovo bebè di mamma Apple, ma nessuno sa se la vulneraibilità da lui trovata risieda nella BootROM o in altre parti a livello più "alto". Si è comunque costantemente al lavoro per trovare un bug sfruttabile nel primo codice in esecuzione sul dispositivo.

Passiamo ora a fare il punto della situazione sul jailbreak untethered per gli altri iPhone e iPod touch. Il jailbreak tethered rimane sempre disponibile grazie all'exploit limera1n, ma è come sempre scomodo e piuttosto fastidioso dover riavviare tramite computer. Una soluzione temporanea l'ha avuta, per quanto riguarda iOS 5, un brillante sviluppatore del blog ModMyI che ha rilasciato un jailbreak semi-tethered speciale, che consente di riavviare il dispositivo in qualsiasi situazione (anche con il MobileSubstrate installato) ma pur sempre perdendo le funzionalità legate al jailbreak. Un ruotino di scorta utile, ma ancora troppo instabile e pieno di errori decisamente inopportuni.

Quello che veramente viene non chiesto, ma preteso da tantissimi utenti è una data di rilascio, un semplice ETA (Elapsed Time of Arrival, tempo stimato per il rilascio) che metta il cuore in pace a molte persone. Ciò non è possibile per il semplice fatto che non si può prevedere quando una vulnerabilità salterà fuori, o quanto tempo ci vorrà per sfruttarla. Dipende tutto dal tipo di bug trovato, ma qui si scende troppo nel tecnico per capire. E' quindi necessario pazientare: ma forse qualcosa d'ora in poi potrà darci una mano.

Iniziativa del Chronic Dev Team, il Crash Dev Reporter è un programma molto interessante che permette di inviare i dati sui crash del proprio dispositivo allo stesso Team invece che ad Apple, che analizzandoli scopre ogni giorno centinaia e centinaia di vulneariblità (i bug rendono instabile il dispositivo quando "crasha" un'app) - spesso innocue e non sfruttabili - ma qualcosa può sempre venir fuori. Ecco perchè è consigliato eseguire il programma sul proprio dispositivo per aiutare il gruppo di hackers nel suo intento (ne abbiamo parlato qui). Grazie a questo utile progetto le probabilità di successo aumenteranno sempre più, quindi vi esortiamo a farlo immediatamente

Torna al menù

4. Dati

Iniziamo a prendere in considerazione un po' di dati interessanti che ci facciano ripercorrere, oltre che con le parole, questi lunghissimi 4 anni di storia del jailbreak. Parleremo di tanti aspetti, iniziando con gli exploit o falle di sistema, passando per i programmi utilizzati ed infine completando il percorso trattando di hacker e sviluppatori interessati. Let's go!

Torna al menù

4.1 Exploit: cosa sono e classificazioni

Cosa sono esattamente questi exploit? Iniziamo con il dire che in italiano si tradurrebbero come falle di sicurezza o buchi nel sistema. Sostanzialmente si tratta di codici che, tramite vulnerabilità o bug nel Firmware o nel dispositivo stesso, causano l'acquisizione di privilegi d'amministratore sul sistema. Per effettuare un jailbreak bisogna, individuato il bug e creato l'exploit, costruire un payload che automatizzi la procedura, ovvero un codice che se implementato in un tool riesca a rendere la procedura di jailbreak completamente automatica ed eseguibile da chiunque, senza inviare comandi manuali da shell, cosa assai complicata che necessita di una certa esperienza.

Tali falle sono presenti in qualunque sistema informatico, non solo nei software Apple: dato che questi software sono sviluppati dall'uomo, e l'uomo non è in grado di costruire una macchina perfetta, il codice di un applicazione o di un qualsiasi software avrà certamente bug e vulnerabilità a seconda dell'accuratezza con cui è stato sviluppato il programma, della sua complessità e del tipo di programma sviluppato.

La mela morsicata, essendo leader nel settore, è sicuramente dotata di molti mezzi per risolvere tantissimi bug e rendere i Firmware per i propri dispositivi i più sicuri al mondo (secondo una recente ricerca iOS può essere attaccato da 2 virus in totale, contro le migliaia riscontrate per altri sistemi operativi tra cui il modello Android): ma ciò non basta.

Un gioiellino come iPhone o iPod touch necessitano di tantissimi codici e files per essere avviati, settati e utilizzati. Ci sono varie componenti che li costituiscono che possono a loro volta contenere bug o imperfezioni che possono rappresentare una via sicura per i jailbreakers: tra tutti spicca la BootROM, che rappresenta il primo codice eseguito all'accensione del nostro iDevice. Data la grande quantità di codice si possono identificare sempre alcuni bug e vulnerabilità in 3 livelli, diversi in effetti e durabilità: essi sono classificati in BootROM exploit, Kernel o iBoot exploit e Userland exploit.

Poichè, come già detto, errare è umano, non esisterà mai un Firmware esente da falle di sicurezza. Potrà comunque tendere alla perfezione man mano che vengono rilasciati aggiornamenti per tale Firmware.

Torna al menù

4.1.1 BootROM

La BootROM, chiamata da mamma Apple SecureROM, è il primo codice significativo che viene eseguito nella boot chain del dispositivo, che rappresenta la serie di operazioni con cui l'iDevice viene avviato.

La boot chain di un iPhone, iPod touch o iPad è la seguente:

BootROM --> Low Level Bootloader (LLB) --> iBoot --> Kernel --> System Software o Userland

Quando accendiamo il nostro iPhone o iPod touch, dalla BootROM viene inviato un codice per allocare un indirizzo nella RAM. Il Low Level Bootloader verrà quindi caricato dalla NOR, che procederà con il controllare la firma dell'iBoot. Se l'iBoot passa il controllo, verrà a sua volta caricato: e ancora a sua volta l'iBoot controllerà la firma del Kernel di iOS, che quindi se supererà il controllo caricherà (sempre controllando la firma) il FileSystem, dopodichè l'iPhone si accenderà normalmente.

Inutile dire che questi processi sono nascosti e, nel caso in cui uno dei controlli fallisse, l'accensione fallirà a sua volta: a volte può accadere che venga riportato un Kernel Panic (in questo caso il fail è avvenuto nel controllo da iBoot a Kernel), oppure l'iPhone si riavvii una seconda volta (fallisce il controllo da Kernel a FileSystem). Altre volte può apparire la schermata di ripristino (in questo caso è il controllo da LLB a iBoot a fallire).

Ma esiste un controllo dalla BootROM all'LLB? Ora come ora no, ma prima (parliamo di iPhone 2G, 3G e iPod touch 1G) si. Questo garantiva l'esecuzione dell'exploit Pwnage, che faceva fallire il controllo sull'LLB e poteva quindi far caricare un LLB patchato (modificato) che non controllava il passaggio successivo (iBoot). Completata tutta la catena di elementi patchati, si arrivava quindi al mounting del FileSystem che veniva effettuato senza controllo e quindi con la possibilità di eseguire codice di terzi (si arrivava al controllo del FileSystem e al conseguente jailbreak untethered).

Abbiamo conosciuto i processi che stanno alla base di un avvio di un iPhone: ora sappiamo che se trovassimo un exploit per il primo anello della catena, il jailbreak diverrebbe non risolvibile da Apple con un aggiornamento software (in quanto la BootROM è un componente Hardware). E' per questo che gli exploit BootROM sono i più ambiti e altrettanto rari da trovare: si ipotizza che al giorno d'oggi tali exploit non siano più sfruttabili perchè sono terminate le vulnerabilità utili.

Vediamo ora quali sono gli exploit bootrom finora utilizzati e, per i più curiosi, è disponibile anche il codice di esecuzione più informazioni extra che possono servire per ricerche o quant'altro.

Pwnage

Nome completo: Pwnage

Livello: BootROM

Crediti: iPhone Dev Team

BootROM vulnerabile: S5L8900

iDevice vulnerabili: iPhone EDGE, iPhone 3G e iPod touch 1G

Implementato in: PwnageTool, XPwn, iPhoneLinux

Firmware vulnerabili: 2.0, 2.0.1, 2.0.2, 2.1, 2.2, 2.2.1, 3.0, 3.0.1, 3.1, 3.1.1, 3.1.2, 3.1.3, 4.0, 4.0.1, 4.0.2, 4.1, 4.2.1

Tipo di jailbreak: Untethered (insieme a Pwnage 2.0)

Descrizione: Pwnage sfrutta una vulnerabilità trovata nella BootROM dei dispositivi più vecchi, quali iPhone EDGE, iPod touch 1G e iPhone 3G. Questi 3 dispositivi, con BootROM S5L8900, presentavano un controllo della firma nel passaggio di testimone tra BootROM e LLB: tuttavia questo controllo veniva effettuato dopo che i dati venissero scritti nei registri della NOR, ovvero dopo che avvenisse il passaggio da BootROM a LLB.
Apple pensava che tutti dati scritti nella NOR passassero per un controllo della firma RSA, in modo tale da riconoscere quel codice come autentico e garantito da Apple stessa: ma tale affermazione non è corretta. Infatti l'unico meccanismo con cui era possibile prevenire l'esecuzione di codice arbitrario era il kernel di iPhone e iPod touch, che nella boot chain seguiva l'iBoot. Il kernel contiene un estensione specificatamente progettata per scrivere dati nella NOR: questa extension si chiama AppleImage2NORAccess, che esegue un controllo RSA della firma per ogni tipo di dato che cerca di scrivere in memoria. Offuscare e quindi far saltare tale controllo è molto semplice: dopo che quest'ultimo viene bypassato, si può scrivere qualsiasi tipologia di dato sulla NOR.
Inoltre Apple pensava che disabilitando le chiavi di crittografia in un ambiente "normale" avrebbe prevenuto la scrittura di files del firmware nella NOR. Ma gli hacker sono riusciti a trovare un metodo per eseguire il codice in un ambiente "sicuro" e quindi bypassando anche questo controllo utilizzando l'estensione AppleImage2NORAccess nello stesso modo con cui iTunes effettuava il ripristino.

Poichè distruggendo la catena di booting dall'inizio si prende possesso di tutta la catena, l'exploit permise l'esecuzione di codice di terzi insieme alla prossima falla: Pwnage 2.0.

Pwnage 2.0

Nome completo: Pwnage 2.0

Livello: BootROM

Crediti: iPhone Dev Team

BootROM vulnerabile: S5L8900

iDevice vulnerabili: iPhone EDGE, iPhone 3G e iPod touch 1G

Implementato in: PwnageTool, QuickPwn, redsn0w, WinPwn, iran

Firmware vulnerabili: 2.0, 2.0.1, 2.0.2, 2.1, 2.2, 2.2.1, 3.0, 3.0.1, 3.1, 3.1.1, 3.1.2, 3.1.3, 4.0, 4.0.1, 4.0.2, 4.1, 4.2.1

Tipo di jailbreak: Untethered (insieme a Pwnage)

Descrizione: Uno stack overflow (variante del buffer overflow) che risiede nel codice di parsing dei certificati. Bypassando un certificato malforme, si può ottenere l'accesso a lettura e scrittura al filesystem e ad eseguire qualsiasi codice di terzi sul dispositivo. Strettamente legato a Pwnage, è il suo completamento e parte finale che garantisce un jailbreak untethered.

24kPwn

Nome completo: 0x24000 Segment Overflow

Livello: BootROM

Crediti: chronic, CPICH, ius, MuscleNerd, Planetbeing, pod2g, posixninja, et al. (tutti coloro che non vogliono essere nominati)

BootROM vulnerabile: S5L8720, S5L8920

iDevice vulnerabili: iPhone 3GS e iPod touch 2G commercializzati tra il 2008 e la 40esima settimana del 2009

Implementato in: N/D

Firmware vulnerabili: 3.0, 3.0.1, 3.1, 3.1.1, 3.1.2, 3.1.3, 4.0, 4.0.1, 4.0.2, 4.1, 4.2.1

Tipo di jailbreak: Untethered

Descrizione: Grazie ad un overflow si sovrascrive un indirizzo nel registro SHA1. Questo registro è l'unico che scrive dati nell'hardware direttamente: scrivendo dati nello stack e sovrascrivendo la funzione LR allo SHA1, invece che eseguire la routine di SHA1 l'hardware viene reindirizzato ad un indirizzo scelto dall'utente che contiene il payload. Si ottiene così l'esecuzione di codice arbitrario e quindi al jailbreak untethered.

limera1n

Nome completo: limera1n

Livello: BootROM

Crediti: geohot

BootROM vulnerabile: S5L8920, S5L8922, S5L8930

iDevice vulnerabili: iPhone 3GS, iPhone 4 GSM, iPhone 4 CDMA, iPod touch 3G, iPod touch 4G, iPad 1G e AppleTV 2G

Implementato in: limera1n, Redsn0w, greenpois0n, PwnageTool, Sn0wbreeze

Firmware vulnerabili: 4.0, 4.0.1, 4.0.2, 4.1, 4.2.1, 4.3, 4.3.1, 4.3.2, 4.3.3, 4.3.4, 4.3.5, 5.0, 5.0.1, 5.1

Tipo di jailbreak: Tethered

Descrizione: Non disponibile. Si conosce soltanto che riprende l'exploit usb_control_msg(0x21,2) ma agisce su un'altra vulnerabilità.

Curiosità: A lui appartengono molteplici primati, tra cui l'affliggere il più gran numero di BootROM, il maggior numero di dispositivi e il maggior numero di Firmware. Geohot ha voluto rilasciare l'exploit un giorno prima del rilascio di greenpois0n che inizialmente era ideato per eseguire l'exploit SHAtter, di cui parleremo in seguito. Sebbene questo sembrò un gesto parecchio scorretto, aggravato dal fatto che l'hacker ne era in possesso da ben 6 mesi, in realtà diede una speranza per attaccare le BootROM di iPad 2 e iPhone 4S: infatti SHAtter non era in grado di supportare tanti device come limera1n e per questo venne preservato per un eventuale utilizzo sulla S5L8940 montata da iPad 2. Tuttavia SHAtter venne patchato da Apple con iPad 2.

limera1n necessita sempre di un exploit complementare per eseguire un jailbreak untethered.

SHAtter

Nome completo: SHAtter

Livello: BootROM

Crediti: Chronic Dev Team

BootROM vulnerabile: S5L8922, S5L8930

iDevice vulnerabili: iPhone 4 GSM, iPhone 4 CDMA, iPod touch 4G, iPad 1G e AppleTV 2G

Implementato in: Nessun tool

Firmware vulnerabili: Nessun firmware

Tipo di jailbreak: Sconosciuto, presumibilmente tethered

Descrizione: Fa credere alla BootROM di caricare un'immagine con dimensione maggiore di quella effettiva. Così, se prova a caricare l'immagine, penserà che questa è sbagliata. Allora proverebbe a levare l'immagine con tutti i valori a zero (che equivale a false) e ripartirà spazzando via la BootROM. Dopo aver scritto parte dell'immagine in 0x0 (dove sta la BootROM), caricherà l'intera immagine e la copierà in cima alla BootROM. Dopodichè, quest'ultima potrà garantire l'accesso alla partizione di sistema.

Curiosità: SHAtter non venne mai rilasciato poichè geohot battè sul tempo il Chronic Dev rilasciando limera1n. Si sperava potesse non venire patchato nella BootROM rivisitata di iPad 2, ma questo non è avvenuto. Dato che nel firmware attuale si utilizza ancora limera1n (che è tethered), si presume che SHAtter sia anch'esso di tipologia tethered.

Edited by ShaÐe - 4/2/2013, 15:38

eXander

Posted on 25/9/2011, 16:35

Group: Member

Posts: 11,133

Reputation: +75

Status: Anonymous

WOW, complimenti! o.o

aggiusta qui va xD

CODICE

[IMG=cc-logo]http://ipodtouchackimg.altervista.org/files/ipth-banner-4.png">

Lo staff di iPodToucHack ricorda che quest'opera, come tutto il materiale che viene creato e pubblicato all'interno del forum, è licenziata con Creative Commons Attribuzione 3.0 Italia License.

Tu sei libero di riprodurre, distribuire e comunicare ad altri quest'opera, alle seguenti condizioni:

Attribuzione: Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera.
Non commerciale: Non puoi usare quest'opera per fini commerciali.
Non opere derivate: Non puoi alterare o trasformare quest'opera, né usarla per crearne un'altra.

Sei comunque autorighzzato a riprodurre il contenuto di quest'opera, seguendo le Linee Guida proposte in questa pagina.

Contacts

Fabbo

Posted on 25/9/2011, 17:00

User deleted

Wow fantastica
Dove/come l'hai trovata/fatta la cornicetta intorno alle immagini?

Rusly

Posted on 25/9/2011, 17:03

User deleted

Stupenda

ShaÐe

Posted on 25/9/2011, 20:59

User deleted

CITAZIONE (Fabbo @ 25/9/2011, 18:00)

Wow fantastica
Dove/come l'hai trovata/fatta la cornicetta intorno alle immagini?

Le ho fatte io

@Mystic: aggiustato

ShaÐe

Posted on 26/9/2011, 12:58

User deleted

Sistemate alcune cosuccie e aggiunte alcune immagini :=D:

xxfaxioxx

Posted on 26/9/2011, 20:34

User deleted

spettacolare *.* non vedo l' ora di leggere resto... ma comunque scandaloso geo colui che ha trovato le piu utili falle sugli iOS e ora lavora x la sicurezza informatica di faccialibro naturalmente per non parlare di comex che crea un jailbreak untethred facilissimo, funzionante con l' ultimo dispositivo non jailbrekkbile dell' apple, e poco dopo assunto dalla stessa... non c' è piu mondo V.V

dav91

Posted on 26/9/2011, 21:18

User deleted

Che spettacolo Fili, sei il migliore!

ShaÐe

Posted on 26/9/2011, 21:34

User deleted

Grazie Davide!

ShaÐe

Posted on 27/9/2011, 14:49

User deleted

Aggiornato

Aggiunti punti 2., 2.1, 2.2, 2.3 e 2.4! In arrivo punti 4., 4.1, 4.1.1, 4.1.2 e 4.1.3!

Prossimamente: punti della serie 5!