Jailbreak

Jailbreak je proces vyjmutí omezení na zařízeních s iOS skrze zranitelnost. Jailbreak umožňuje přístup k zařízení s oprávněním administrátora a umožňuje stahování a instalovaní aplikací a rozšíření, které nejsou dostupné na oficiálním Apple App Store, tedy aplikací, které nejsou například podepsané certifikátem, jenž Apple vydal. Obecně řečeno, termín jailbreak je eskalace oprávnění na libovolném zařízení. Toto o jailbreaku, volně převzato, říká Wikipedia. V současné době jsou již dostupné jailbreaky pro verze iOS 6.1.2, která je v tuto chvíli předposlední verzí.

Jak funguje jeden z nejpopulárnějších jailbreak programů Evasi0n popsal pro časopis Forbes jeden z členů skupiny evad3rs, která jej vytvořila. Princip útoku je ve využití zranitelnosti během zálohovacího procesu zařízení. Tato zranitelnost umožňuje přístup k některým zdrojům, které jsou normálně nedostupné, zejména k souboru s nastavením časové zóny zařízení. Vložením symbolického linku do souboru s časovým pásmem získá Evasi0n přístup k určitému “socketu”, který slouží jako komunikační kanál mezi jednotlivými programy. Prostřednictvím tohoto kanálu se Evasi0n dostane k procesu launchd, který startuje jako první, a to s oprávněním root. Proces launchd je pak dalšími kroky využit pro spuštění nepodepsaného kódu a změny módu paměti z read-only do write. Detailnější popis můžete najít například v již zmiňovaném časopise Forbes. Apple ve verzi 6.1.3 tato otevřená vrátka již zavřel.

SMS zranitelnost

Skupina pod2g upozornila na zranitelnost ve verzi 6 beta 4 ve zpracování SMS. Přesněji řečeno jde o chybu ve zpracování režimu PDU (protocol description unit), který slouží ke kódování SMS, Flash SMS atd. Součástí PDU je i user data header, který umožňuje vyplnit položku reply. Útočník tak může poslat SMS, která vypadá, že přichází od někoho jiného. Na první pohled se to nemusí zdát jako velký problém, ale zkuste si představit, čeho všeho lze docílit vhodnou SMS, která přichází od důvěryhodného zdroje.

Zranitelnost v sandboxingu

V předchozím článku jsem popisoval, jak systém chrání aplikace navzájem. Jednoduše řečeno, každá aplikace běží ve svém omezeném prostoru (sandboxu). Všechny aplikace musí být podepsané certifikátem, který je vydán vývojáři. Žádná nepodepsaná aplikace nejde na iOS zařízení spustit (tedy pokud zařízení není „jailbreaknuté“). Tento koncept je jedním ze základních kamenů bezpečnosti iOS. Co když tento systém ochrany selže? V iOS 4.3 byla odhalena a prokazatelně využita zranitelnost, která tento způsob ochrany obchází. Bezpečnostní specialista Charlie Miller objevil způsob, jak spouštět nepodepsané kódy. iOS přidal prohlížeči Safari engine Nitro, který zrychluje provádění JavaScriptu. JavaScript je načten, zkontrolován a pak přeložen do optimalizovaného kódu pro větší rychlost. Safari může tento kód vzít a zapsat ho do paměti a z téže paměti spustit. Za normálních okolností žádná jiná aplikace nemůže vytvářet tento typ alokované paměti, tedy paměť, do které je povolen zápis a spouštění (!) zároveň. Miller objevil způsob, jak si takovou paměť může alokovat jeho vlastní aplikace. Tuto aplikaci vytvořil a nahrál na App Store, kde prošla řádnou kontrolou a byla ke stažení. Aplikace pak stáhla z webu část spustitelného kódu, který pochopitelně neprošel kontrolou App Storu. Tato zjištění Miller demonstroval na konferenci v Taiwanu a výsledkem bylo, že mu Apple pozastavil jeho vývojářský účet. Chyba je, pokud vím, již odstraněna.

Uzamčení telefonu lze obejít

Pokud nastavíte PIN pro odemčení telefonu, zdá se, že se k datům nikdo nepovolaný nemůže dostat. Pokud máte verzi iOS 6.1.2 (v tuto chvíli předposlední verze), vhodnou sérií úkonů je možné dostat se ke kontaktům a obrázkům v napadeném telefonu. Problém byl popsán týmem Vulnerability Lab a jeho přesný postup čítající třináct po sobě jdoucích kroků můžete nalézt na YouTube nebo na serveru The Hacker News. V současné verzi 6.1.3 byla velmi krátce po uveřejnění objevena ještě jiná zranitelnost umožňující totéž, tedy přístup ke kontaktům a fotografiím. Opět je využito specifické posloupnosti úkonů tentokrát za využití hlasového vytáčení. Video lze opět shlédnout na YouTube pod názvem Again on iOS 6.1.3 Bypass the iPhone passcode lock.

Safari poslušně předá data

Další zajímavou zranitelností je chyba v prohlížeči Safari na iOS verzi 5.1.1, která byla potvrzena i na počáteční verzi iOS 6. Holandská skupina Certified Secure demonstrovala na bezpečnostní konferenci v Amsterdamu chybu, která umožnila útočníkovi vzdáleně získat kontakty, historii prohlížeče, fotky a videa ze zranitelného zařízení. Jediné, co musela oběť udělat, bylo navštívit stránku s útočným kódem. Uživatel nemusel nic stahovat nebo někam klikat, postačilo pouhé načtení. Stránka ani nezpůsobila pád prohlížeče, takže oběť neměla nejmenší tušení, že se děje něco špatného. V tomto případě technické detaily nebyly odkryty a byly předány společnosti Apple, která za ně podle některých zdrojů zaplatila třicet tisíc dolarů. Objevení zranitelnosti trvalo bezpečnostním expertům údajně tři týdny, a to i když pracovali pouze ve svém volném čase. Zranitelnost je pochopitelně v současné době opravena.

XSS Skype

Koncem roku 2011 byla publikována zranitelnost v aplikaci Skype pro iOS ve verzi 3.0.1. Zranitelnost se týkala chatovacího okna. Skype lokálně ukládá HTML soubor, aby zobrazil zprávy z chatu. Chyba spočívala ve zpracování jména odesílatele zprávy. Do jména bylo možné vložit JavaScript kód. Spuštění JavaScript kódu na straně oběti je jedna část problému, ale druhou důležitou chybou bylo špatné nastavení URI schématu na „file://“ ve vestavěném webkit prohlížeči, který Skype využívá. Kombinace obou chyb dala útočníkovi možnost přístupu k souborům filesystému. Vzhledem k sandboxu je tento přístup omezen na soubory, ke kterým má přístup zranitelná aplikace. Skype měl přístup ke kontaktům, takže bylo možné ho využít k jejich odcizení. Více informací, včetně demonstračního videa naleznete v článku serveru Superevr.com s názvem XSS in Skype for iOS.

V koncepci sandboxu se zdá, že zranitelná aplikace nepředstavuje závažný problém. Útočník se může dostat pouze k datům jako samotná aplikace. Nikdy bychom ale neměli podceňovat to, k jakým našim datům požadují aplikace přístup.

Závěrem

Reálných útoků na iOS zařízení je samozřejmě více. Všechny, až na jeden, jsou v současné verzi iOS již opraveny a není třeba se jich obávat. Je třeba si však uvědomit, že mohou přijít další a možná závažnější chyby a útoky na ně. Software píšou stejní lidé, jako jsme my všichni. Chybující ať už vědomě nebo nevědomě. Lidé, kteří si možná někdy chtějí práci usnadnit, a tak umožní jiným, aby jejich lenost nebo nepozornost byla zneužita. Všechny systémy na světě trpí těmito neduhy a je na nás, abychom si potenciálních rizik byli vědomi. V případě mobilních zařízení se nás výrobce snaží chránit bezpečným konceptem, který jistě dokáže zadržet obrovský podíl útoků tak, že je jednoduše nelze realizovat. Ale ani superbezpečný koncept nevyloučí lidské chyby. Na řadu z těchto útoků neexistuje jiná ochrana než opatrnost a pozornost, a ani to někdy nemusí stačit. Uvědomme si, že žádný bezpečnostní software nás před podobnými útoky stoprocentně neochrání.

Martin Meduna
Autor pracuje jako bezpečnostní konzultant ve společnosti Symantec.