Meer informatie over de SHAtter exploit bekend (jailbreak)

Via de iPhone Wiki heeft de hacker pod2g meer informatie over de totstandkoming van de SHAtter exploit bekend gemaakt. De informatie is vooral bedoeld voor gebruikers met een interesse in de technische achtergrond.
Paul Pols - · Laatst bijgewerkt:

SHAtter exploit in Greenpois0n?Via de iPhone Wiki heeft hacker pod2g meer informatie over de totstandkoming van de SHAtter exploit bekend gemaakt. De informatie is vooral bedoeld voor gebruikers met een interesse in de technische achtergrond. De geplaatste details bevestigen dat het gaat om een bootrom-exploit, die dus per definitie niet door middel van een eenvoudige firmwareupdate door Apple verholpen kan worden. Via Twitter heeft pod2g daarnaast laten weten dat hij verwacht dat de release van de volgende jailbreak (mogelijk in de vorm van Greenpois0n) volgens hem eerder een kwestie van dagen dan van weken is.

Het jailbreaken van een iDevice begint met het zoeken naar een kwetsbaarheid (vulnerability) in de code van Apple, die vervolgens met behulp van een exploit gebruikt kan worden. De exploit is de eerste stap in het creëeren van een zogenaamde injection vector; dat wil zeggen een manier om code of data op een bepaalde plaats te kunnen injecteren. Als dit lukt, kan er vervolgens een payload worden geschreven; de code die uiteindelijk met behulp van de injection vector geïnjecteerd wordt en de benodige aanpassingen aan het bestandssysteem uitvoert.

Het verhaal achter de SHAtter exploit

Het verhaal achter de SHAtter exploit begint in april van 2010, toen pod2g een USB-fuzzer schreef die resulteerde in twee mogelijke kwetsbaarheden in de USB control messages op een oudere iDevice. Helaas bleken na nader onderzoek de iPhone 4, iPad en 3e generatie iPod touch hier al niet meer kwetsbaar voor te zijn. Vervolgens ging p0sixninja verder aan de slag met het fuzzen op de nieuwere generatie iDevices en kwam daarbij tot de ontdekking dat het mogelijk was om het geheugen (BSS, heap & stack) te dumpen door een aantal USB control messages in een bepaalde volgorde te versturen. Een dergelijke dump van het geheugen maakt het schrijven van een exploit eenvoudiger en was bij de vorige bootrom-exploit niet voorhanden.

P0sixninja’s eerste pogingen om het geheugen te dumpen resulteerden in het opnieuw opstarten van zijn iDevice – wat op termijn zou leiden tot de SHAtter exploit. De kwetsbaarheid waar SHAtter gebruik van maakt werd dus in mei van 2010 gevonden door @p0sixninja van het Chronic Dev Team. Vervolgens spendeerde hij maanden aan het reverse engineeren van de bootrom. Ondertussen deed pod2g hetzelfde aan de USB-zijde wat leidde tot een manier om meer controle te hebben over de grootte van de USB-pakketjes die werden verstuurd. Deze controle is volgens de wiki een belangrijk element van de SHAtter exploit.

Het verhaal op de wiki eindigt ermee dat p0sixninja en pod2g dagen zonder succes hebben geprobeerd om een exploit te schrijven voor de gevonden kwetsbaarheid. Hun pogingen om de stack aan te vallen en de img3-controle te omzeilen faalden en het duurde weken voordat ze begrepen waarom. In juli van 2010 gaven ze het op en besloten ze zich op andere zaken te richten.

Informatie over de SHAtter exploit

Vermoedelijk vond pod2g begin september alsnog een methode om een exploit te schrijven voor de genoemde kwetsbaarheid die resulteerde in de SHAtter exploit. Uit de informatie op de Wiki-pagina van SHAtter blijkt dat het inderdaad gaat om een bootrom-exploit, waarvoor in ieder geval de meest recente iDevices die gebruik maken van de A4-chip kwetsbaar zijn (iPhone 4, iPad, 4e generatie iPod touch en 2e generatie Apple TV). Er zijn verder geen details bekend gemaakt over de precieze werking van SHAtter, om te voorkomen dat Apple op dit moment al bezig zou kunnen gaan met het ontwikkelen van een patch (die vervolgens in de bootrom van een nog te introduceren iDevice of nog te produceren exemplaren van bestaande iDevices verwerkt kan worden). Meer details over de SHAtter exploit zullen dan ook volgen wanneer de volgende jailbreak eenmaal beschikbaar is gemaakt.

Reacties: 46 reacties

Reacties zijn gesloten voor dit artikel.