古いiOSデバイスのBoot ROMに脱獄も可能な脆弱性、Appleにも修正不可能 42
ストーリー by headless
脱獄 部門より
脱獄 部門より
パッチ不可能なBoot ROM(SecureROM)の脆弱性を利用し、古いiOSデバイスの脱獄を可能にするという「checkm8 (チェックメイト)」が発表された(開発者のツイート、 GitHubリポジトリ、 Mac Rumorsの記事、 Ars Technicaの記事)。
脆弱性はA5~A11チップのBoot ROMに存在し、iPhoneではiPhone 4S~iPhone 8/Xに該当する。現在公開されているのは開発途中のエクスプロイトの段階であり、MacにUSB接続したiOSデバイスからBoot ROMのダンプとキーバッグの復号、JTAGの有効化のみが可能となっている。Cydiaと組み合わせて利用できる完全な脱獄も可能だが、それにはまだまだ作業が必要だという。開発者のaxi0mX氏はiOS 12ベータでiBootのUSBコードに存在する脆弱性が修正された際にcheckm8の手法を発見したそうだ。
脆弱性はA5~A11チップのBoot ROMに存在し、iPhoneではiPhone 4S~iPhone 8/Xに該当する。現在公開されているのは開発途中のエクスプロイトの段階であり、MacにUSB接続したiOSデバイスからBoot ROMのダンプとキーバッグの復号、JTAGの有効化のみが可能となっている。Cydiaと組み合わせて利用できる完全な脱獄も可能だが、それにはまだまだ作業が必要だという。開発者のaxi0mX氏はiOS 12ベータでiBootのUSBコードに存在する脆弱性が修正された際にcheckm8の手法を発見したそうだ。
checkm8を実行するにはiOSデバイスをBoot ROMコードの復元に使用するDFUモードでMacとUSB接続する必要がある。そのため他のエクスプロイトと組み合わせた場合でもリモートからの実行に対応せず、デバイスへの直接アクセスが必要となる。脱獄は再起動すると無効になり、その都度checkm8の実行が必要だ。逆にスパイウェアなどが無断でインストールされても再起動すれば動作しなくなる。また、Secure Enclaveによる保護をバイパスしないため、A7以降のチップを搭載するデバイスではPINコードを知らない人物にデータを読み取られる可能性は低い。ただし、端末アンロック後にスパイウェアがサーバーにデータを送信する可能性は否定できないという。
Boot ROMの脆弱性を利用した脱獄ツールは、GeohotことGeorge Hotz氏が開発したiPhone 4対応版を最後に公開されていないという。iOSの脆弱性を利用する脱獄はiOSのアップデートで利用できなくなってしまうが、Boot ROMのコードはAppleでも変更できない。これにより、脱獄のために古いバージョンのiOSを使い続ける必要はなく、最新のiOSでも脱獄が利用可能になる。
iOSの脱獄は終焉が近付いているとみられていたが、axi0mX氏はcheckm8の力で今後数年は生き延びるとの考えを示している。また、コンピューターに接続することなく脱獄可能なケーブルやドングルを作ることも不可能ではないとのことだ。
詳しい説明 (スコア:4, 参考になる)
Ars Technicaに発見者本人とのインタビューが掲載されている。
* この脆弱性を悪用出来るのはUSB接続して本体を再起動しDFUモードにした時のみ。つまり、リモート乗っ取りはもちろん不可能だし、ローカルでUSBケーブルを差し込んだだけでも発動させることは不可能。ありえるとしたらユーザーが完全消去・再インストールの為にDFUモードにした瞬間を狙ってPCから不正イメージを送り込むことだが、そんなシナリオは実用的(practical)ではない。
* この脆弱性を使って改造したiOSを動かすことは可能だが、再起動後は消えてしまう。ストレージに改造バイナリを仕込んでも、再起動後は正規BootROMによるデジタル署名のチェックが復活するので、見破られて動作しなくなる。
* Secure Enclave Processorは依然として破られていない。iOSのストレージはSEPの情報とパスワードの両方で暗号化されているので、ユーザーのパスワードも別途手に入れてデバイス上で入力しないとストレージの内容は一切読み取れず、データを抜くことは出来ない。(AC注: SEPのないiPhone 5以前のiPhoneではデータを抜くことが可能になるが、それらについては既にCellebriteなどの業者がデータを抜き取る手法を編み出しているとされているので特に新しい問題とはならない。)
* 総論すると、この脆弱性によってCellebriteなどのデータ抽出業者が以前出来なかったことが出来るようになった、とはいえない。他の脆弱性と合わせてもっと決定的なデータ抽出ツールを作れるか、という質問に対しては「世間には優秀な人がいるので不可能とは言わないが、自分には無理」とのこと。
* ということで、攻撃者にとっては煽り文句が言うほど重要な脆弱性ではないが、本件は安心かつ安全にiOSをいじれるようになったということで脱獄やセキュリティ研究者にとっては「ルネッサンス」である。
https://arstechnica.com/information-technology/2019/09/developer-of-ch... [arstechnica.com]
Re:詳しい説明 (スコア:3, 参考になる)
追記
Ars Technicaのコメント欄では、A11以前のiOSデバイスにおいて、SEPに対する試行回数のカウンターを書き換えてSEPに対するパスワード総当たり攻撃を行える可能性が指摘されている。(本来はカウンターが10回に達するとSEPに完全にロックが掛かってしまい、完全初期化するしかなくなる。)これが本当なら、iPhone X以前の全機種においてデータを盗まれるリスクが格段に上がってしまう。
こんな単純な攻撃が存在するなら発見者が「自分には思いつかない」なんて言わないと思うので、実際に可能なのか半信半疑だけど、とりあえず加筆。
Re: (スコア:0)
「自分には思いつかない(と言えってZERODIUMに言われた)」
Re: (スコア:0)
iOSは詳しくないけど、紐付き脱獄とか言われてた脱獄形式の新型て訳か。
攻撃者の手元にデバイスがあるとはいえ、
一体いつになれば牢獄は完成するのだろうか。
古いiOSデバイスのアプデ放置 (スコア:1)
してんだから知らんがな
Re:古いiOSデバイスのアプデ放置 (スコア:1)
> iPhoneではiPhone 4S~iPhone 8/Xに該当する。
4Sや5はともかく、8/Xが古いって言われると...。
人によってはまだ分割払い金も残ってる機種じゃないか。
Re:古いiOSデバイスのアプデ放置 (スコア:1)
最新以外は古い世代だというのはおかしくないと思う。
Re: (スコア:0)
信者はこの認識なんだよね
一般人との乖離が大きそう
Re:古いiOSデバイスのアプデ放置 (スコア:1)
そのわりには「Androidと違い放置されていない」とかも同じ口で言うのだよなあ。
Re: (スコア:0)
現行モデルの2世代前で、1年以上前のモデルなんだけど、これを旧モデル扱いしちゃいかんのか?
これが旧じゃないって発想のほうが(何かの)信者だろ。
Re: (スコア:0)
信者とかじゃなくて、理数系の考え方。
履歴データの最新行は現在の値、それ以外は古い値。
そういう事だと思う。自分は違和感覚えなかったよ。
Re: (スコア:0)
新生児以外は古い世代の人間
Re: (スコア:0)
ちゃうねん
ブートROMは物理的にCPUに焼き込まれてるから書き換え不能で修正不可能なんや
Re:古いiOSデバイスのアプデ放置 (スコア:1)
constへのポインタをcastして書き換えれば [developers.srad.jp](違)
Re: (スコア:0)
今回はBootROMの問題なのでOSとは関係ないですが、OSのアップデートに関していえば、
iOS13で非対応となったのはiPhone6以前と5年ほど前の機種なので流石に十分でしょう。
ついでにiOS12にもセキュリティアップデートは、iOS13のリリース後にも出ていますし…。
Re: (スコア:0, 参考になる)
Androidよりはるかにマシでしょう
直近でサポート切れになった2013年製造iPhone5Sでさえ
切れたのは新機能Ver.13へのアップデートで
Ver.12への修正アップデートはまだ続いてる
スマホでiPhoneより長いアップデートサポートなんてないでしょう
まぁ海外版端末なら
Bootloader Unlock & Rootedで自前でずっと焼けるのは
Androidの良いところではあるが逸般的な方法でしょう
# 食わず嫌いはいくない
Re: (スコア:0)
> 直近でサポート切れになった2013年製造iPhone5Sでさえ
> 切れたのは新機能Ver.13へのアップデートで
> Ver.12への修正アップデートはまだ続いてる
今回のBoot ROMもiPhone6以降ならばっちり修正してくれるってことですか?
Re: (スコア:0)
Nexus、Pixelはサポート長いよ。
日本でPixel3/3aが普通に買えるようになったんだからサポート気にするなら迷わずPixel買っておけと思う。
あとはEssentialPhoneが頑張ってる。
MotorolaのZシリーズあたりのハイエンド寄りの機種も長続きしてる。
Re: (スコア:0)
Nexus、Pixelはサポート長いよ。
発売後3年間じゃなかったっけ?
そこから伸びてないなら半分にも届いてないんでない?
公開するよりも (スコア:0)
公開するより、売りに行ってお金に変えたほうがいいのでは?
iphone解析したい国や機関や企業はあるでしょう
Re: (スコア:0)
金やちやほやされるためにハッキングに血道を上げる人は、案外少ないのでは?
そこに山があるから登る、みたいな求道者が多いのでは
Re:公開するよりも (スコア:1)
やり込みゲーマーが大昔のゲームを未だにやってて、今も新たなバグを発見しながら最短記録を更新し続けているような話
好きにやればいいじゃん
Re: (スコア:0)
新手の乗換キャンペーンだな
信者相手だからできるやり口
Re: (スコア:0)
人気のプラットフォームにおいては、脆弱性発見とかで知名度あげるのも普通に戦略かと。
注目されてば仕事につながる可能性もあるし。
現金化もありだろうが表の仕事はしづらくなる。
なんで修正できない仕様なの (スコア:0)
こうなるリスクは分かりきってるのに
Re:なんで修正できない仕様なの (スコア:1)
修正できないとか無いはず。
ジーニアスバーのエキスパートさん達がきっと何とかしてくれる。
Re: (スコア:0)
まあ基板交換すれば対応は可能だな。
Re: (スコア:0)
中国で対策品CPUと張り替えてもらえば
Re: (スコア:0)
バグ終生ここに極まれり
Re: (スコア:0)
バグ's終生
Re: (スコア:0)
落ち着いてtypoするんだ!
Re: (スコア:0)
ブートストラップとかホイホイ書き換えできたら、それはそれでセキュリティリスクになるから。
脆弱性のないプログラムが作れるならROMでもRAMでも良いけど、「脆弱性のないプログラム」という命題自体が現実的じゃない。
Re: (スコア:0)
一点突破されても、逃げられるように作る。
Re: (スコア:0)
修正できるようにしたら全部強制的に消せば簡単に突破できるから
脱獄なんて好きにやらしとけばいいのに (スコア:0)
自分も昔はやってたけど、多くはその面倒くささにすぐに嫌になる。
各種OSを触り始めた頃にのめり込むオリジナルのテーマに通じるものがあるよね。
麻疹みたいなものです。
Re:脱獄なんて好きにやらしとけばいいのに (スコア:2)
オフトピですが…。
「麻疹みたいなもの」という表現、いつまで使われるんでしょうね。「フロッピーディスクのアイコン」みたいな。
Re: (スコア:0)
一まわりまわって麻疹は妊婦と胎児に重大な影響を与える可能性があるので
抗体を持っていない人は検査してくれっていう通知がくるほどなので
言葉はそのままで「なんだかよくわからないけどやべーウィルス」みたいな感じで、
「麻疹みたいなもの」という慣用句の意味合いが変わるかもしれません。
Re: (スコア:0)
いまJBを適応する人のモチベーションってなんなのだろう?
解析する人はわからんでもないけど、純粋にJBをするだけの人は最近は何目的なんだろうなと思わなくはない
Cydiaとかでじゃない扱っていないアプリをどうしても使いたいと課なんだろうか
Re:脱獄なんて好きにやらしとけばいいのに (スコア:2)
未だにiPhoneをJBして使ってますが、
・ステータスバーのカスタマイズ(日付表示とキャリア表示削除とアイコン位置変更)
・シャッター音/スクショ音の削除(ソシャゲのスクショでパシャパシャなると邪魔)
・テザリング有効化(500円払いたくない)
の3点くらいですかね…。
下二つは金で解決出来ますので、一番上が公式でカスタマイズ出来るようになったら、
もういいかなという気はしてます。
Re: (スコア:0)
スクショはマナーモードなら音が鳴らないと思います。
Re: (スコア:0)
LINEのアカウントを複数の端末で共有したりアイコンのthemeを変更したり
Re: (スコア:0)
そこに山があれば登りたいでしょ?
純粋な技術志向の人間って
そういうもんだと思います。