パスワードを忘れた? アカウント作成
14013357 story
iOS

古いiOSデバイスのBoot ROMに脱獄も可能な脆弱性、Appleにも修正不可能 42

ストーリー by headless
脱獄 部門より
パッチ不可能なBoot ROM(SecureROM)の脆弱性を利用し、古いiOSデバイスの脱獄を可能にするという「checkm8 (チェックメイト)」が発表された(開発者のツイートGitHubリポジトリMac Rumorsの記事Ars Technicaの記事)。

脆弱性はA5~A11チップのBoot ROMに存在し、iPhoneではiPhone 4S~iPhone 8/Xに該当する。現在公開されているのは開発途中のエクスプロイトの段階であり、MacにUSB接続したiOSデバイスからBoot ROMのダンプとキーバッグの復号、JTAGの有効化のみが可能となっている。Cydiaと組み合わせて利用できる完全な脱獄も可能だが、それにはまだまだ作業が必要だという。開発者のaxi0mX氏はiOS 12ベータでiBootのUSBコードに存在する脆弱性が修正された際にcheckm8の手法を発見したそうだ。

checkm8を実行するにはiOSデバイスをBoot ROMコードの復元に使用するDFUモードでMacとUSB接続する必要がある。そのため他のエクスプロイトと組み合わせた場合でもリモートからの実行に対応せず、デバイスへの直接アクセスが必要となる。脱獄は再起動すると無効になり、その都度checkm8の実行が必要だ。逆にスパイウェアなどが無断でインストールされても再起動すれば動作しなくなる。また、Secure Enclaveによる保護をバイパスしないため、A7以降のチップを搭載するデバイスではPINコードを知らない人物にデータを読み取られる可能性は低い。ただし、端末アンロック後にスパイウェアがサーバーにデータを送信する可能性は否定できないという。

Boot ROMの脆弱性を利用した脱獄ツールは、GeohotことGeorge Hotz氏が開発したiPhone 4対応版を最後に公開されていないという。iOSの脆弱性を利用する脱獄はiOSのアップデートで利用できなくなってしまうが、Boot ROMのコードはAppleでも変更できない。これにより、脱獄のために古いバージョンのiOSを使い続ける必要はなく、最新のiOSでも脱獄が利用可能になる。

iOSの脱獄は終焉が近付いているとみられていたが、axi0mX氏はcheckm8の力で今後数年は生き延びるとの考えを示している。また、コンピューターに接続することなく脱獄可能なケーブルやドングルを作ることも不可能ではないとのことだ。
  • 詳しい説明 (スコア:4, 参考になる)

    by Anonymous Coward on 2019年09月30日 11時55分 (#3693551)

    Ars Technicaに発見者本人とのインタビューが掲載されている。

    * この脆弱性を悪用出来るのはUSB接続して本体を再起動しDFUモードにした時のみ。つまり、リモート乗っ取りはもちろん不可能だし、ローカルでUSBケーブルを差し込んだだけでも発動させることは不可能。ありえるとしたらユーザーが完全消去・再インストールの為にDFUモードにした瞬間を狙ってPCから不正イメージを送り込むことだが、そんなシナリオは実用的(practical)ではない。
    * この脆弱性を使って改造したiOSを動かすことは可能だが、再起動後は消えてしまう。ストレージに改造バイナリを仕込んでも、再起動後は正規BootROMによるデジタル署名のチェックが復活するので、見破られて動作しなくなる。
    * Secure Enclave Processorは依然として破られていない。iOSのストレージはSEPの情報とパスワードの両方で暗号化されているので、ユーザーのパスワードも別途手に入れてデバイス上で入力しないとストレージの内容は一切読み取れず、データを抜くことは出来ない。(AC注: SEPのないiPhone 5以前のiPhoneではデータを抜くことが可能になるが、それらについては既にCellebriteなどの業者がデータを抜き取る手法を編み出しているとされているので特に新しい問題とはならない。)
    * 総論すると、この脆弱性によってCellebriteなどのデータ抽出業者が以前出来なかったことが出来るようになった、とはいえない。他の脆弱性と合わせてもっと決定的なデータ抽出ツールを作れるか、という質問に対しては「世間には優秀な人がいるので不可能とは言わないが、自分には無理」とのこと。
    * ということで、攻撃者にとっては煽り文句が言うほど重要な脆弱性ではないが、本件は安心かつ安全にiOSをいじれるようになったということで脱獄やセキュリティ研究者にとっては「ルネッサンス」である。

    https://arstechnica.com/information-technology/2019/09/developer-of-ch... [arstechnica.com]

    ここに返信
    • Re:詳しい説明 (スコア:3, 参考になる)

      by Anonymous Coward on 2019年09月30日 13時37分 (#3693596)

      追記
      Ars Technicaのコメント欄では、A11以前のiOSデバイスにおいて、SEPに対する試行回数のカウンターを書き換えてSEPに対するパスワード総当たり攻撃を行える可能性が指摘されている。(本来はカウンターが10回に達するとSEPに完全にロックが掛かってしまい、完全初期化するしかなくなる。)これが本当なら、iPhone X以前の全機種においてデータを盗まれるリスクが格段に上がってしまう。

      こんな単純な攻撃が存在するなら発見者が「自分には思いつかない」なんて言わないと思うので、実際に可能なのか半信半疑だけど、とりあえず加筆。

      • by Anonymous Coward

        「自分には思いつかない(と言えってZERODIUMに言われた)」

    • by Anonymous Coward

      iOSは詳しくないけど、紐付き脱獄とか言われてた脱獄形式の新型て訳か。
      攻撃者の手元にデバイスがあるとはいえ、
      一体いつになれば牢獄は完成するのだろうか。

  • by Anonymous Coward on 2019年09月29日 20時09分 (#3693348)

    してんだから知らんがな

    ここに返信
    • by Anonymous Coward on 2019年09月29日 20時30分 (#3693353)

      > iPhoneではiPhone 4S~iPhone 8/Xに該当する。

      4Sや5はともかく、8/Xが古いって言われると...。
      人によってはまだ分割払い金も残ってる機種じゃないか。

    • by Anonymous Coward

      ちゃうねん
      ブートROMは物理的にCPUに焼き込まれてるから書き換え不能で修正不可能なんや

    • by Anonymous Coward

      今回はBootROMの問題なのでOSとは関係ないですが、OSのアップデートに関していえば、
      iOS13で非対応となったのはiPhone6以前と5年ほど前の機種なので流石に十分でしょう。
      ついでにiOS12にもセキュリティアップデートは、iOS13のリリース後にも出ていますし…。

    • Re: (スコア:0, 参考になる)

      by Anonymous Coward

      Androidよりはるかにマシでしょう
      直近でサポート切れになった2013年製造iPhone5Sでさえ
      切れたのは新機能Ver.13へのアップデートで
      Ver.12への修正アップデートはまだ続いてる

      スマホでiPhoneより長いアップデートサポートなんてないでしょう

      まぁ海外版端末なら
      Bootloader Unlock & Rootedで自前でずっと焼けるのは
      Androidの良いところではあるが逸般的な方法でしょう

      # 食わず嫌いはいくない

      • by Anonymous Coward

        > 直近でサポート切れになった2013年製造iPhone5Sでさえ
        > 切れたのは新機能Ver.13へのアップデートで
        > Ver.12への修正アップデートはまだ続いてる
         
        今回のBoot ROMもiPhone6以降ならばっちり修正してくれるってことですか?

      • by Anonymous Coward

        Nexus、Pixelはサポート長いよ。
        日本でPixel3/3aが普通に買えるようになったんだからサポート気にするなら迷わずPixel買っておけと思う。
        あとはEssentialPhoneが頑張ってる。
        MotorolaのZシリーズあたりのハイエンド寄りの機種も長続きしてる。

        • by Anonymous Coward

          Nexus、Pixelはサポート長いよ。

          発売後3年間じゃなかったっけ?
          そこから伸びてないなら半分にも届いてないんでない?

  • by Anonymous Coward on 2019年09月29日 20時13分 (#3693349)

    公開するより、売りに行ってお金に変えたほうがいいのでは?
    iphone解析したい国や機関や企業はあるでしょう

    ここに返信
    • by Anonymous Coward

      金やちやほやされるためにハッキングに血道を上げる人は、案外少ないのでは?
      そこに山があるから登る、みたいな求道者が多いのでは

    • by Anonymous Coward

      新手の乗換キャンペーンだな
      信者相手だからできるやり口

    • by Anonymous Coward

      人気のプラットフォームにおいては、脆弱性発見とかで知名度あげるのも普通に戦略かと。
      注目されてば仕事につながる可能性もあるし。
      現金化もありだろうが表の仕事はしづらくなる。

  • by Anonymous Coward on 2019年09月30日 0時29分 (#3693412)

    こうなるリスクは分かりきってるのに

    ここに返信
    • by Anonymous Coward on 2019年09月30日 6時39分 (#3693440)

      修正できないとか無いはず。
      ジーニアスバーのエキスパートさん達がきっと何とかしてくれる。

      • by Anonymous Coward

        まあ基板交換すれば対応は可能だな。

      • by Anonymous Coward

        中国で対策品CPUと張り替えてもらえば

    • by Anonymous Coward

      バグ終生ここに極まれり

    • by Anonymous Coward

      ブートストラップとかホイホイ書き換えできたら、それはそれでセキュリティリスクになるから。
      脆弱性のないプログラムが作れるならROMでもRAMでも良いけど、「脆弱性のないプログラム」という命題自体が現実的じゃない。

    • by Anonymous Coward

      一点突破されても、逃げられるように作る。

    • by Anonymous Coward

      修正できるようにしたら全部強制的に消せば簡単に突破できるから

  • by Anonymous Coward on 2019年09月30日 9時03分 (#3693466)

    自分も昔はやってたけど、多くはその面倒くささにすぐに嫌になる。
    各種OSを触り始めた頃にのめり込むオリジナルのテーマに通じるものがあるよね。
    麻疹みたいなものです。

    ここに返信
    • オフトピですが…。
      「麻疹みたいなもの」という表現、いつまで使われるんでしょうね。「フロッピーディスクのアイコン」みたいな。

      • by Anonymous Coward

        一まわりまわって麻疹は妊婦と胎児に重大な影響を与える可能性があるので
        抗体を持っていない人は検査してくれっていう通知がくるほどなので
        言葉はそのままで「なんだかよくわからないけどやべーウィルス」みたいな感じで、
        「麻疹みたいなもの」という慣用句の意味合いが変わるかもしれません。

    • by Anonymous Coward

      いまJBを適応する人のモチベーションってなんなのだろう?
      解析する人はわからんでもないけど、純粋にJBをするだけの人は最近は何目的なんだろうなと思わなくはない
      Cydiaとかでじゃない扱っていないアプリをどうしても使いたいと課なんだろうか

      • 未だにiPhoneをJBして使ってますが、
        ・ステータスバーのカスタマイズ(日付表示とキャリア表示削除とアイコン位置変更)
        ・シャッター音/スクショ音の削除(ソシャゲのスクショでパシャパシャなると邪魔)
        ・テザリング有効化(500円払いたくない)
        の3点くらいですかね…。
        下二つは金で解決出来ますので、一番上が公式でカスタマイズ出来るようになったら、
        もういいかなという気はしてます。

        • by Anonymous Coward

          スクショはマナーモードなら音が鳴らないと思います。

        • by Anonymous Coward

          LINEのアカウントを複数の端末で共有したりアイコンのthemeを変更したり

      • by Anonymous Coward

        そこに山があれば登りたいでしょ?
        純粋な技術志向の人間って
        そういうもんだと思います。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...