exploi ng unpatched ios vulnerabili es for fun and profit
play

Exploi'ng Unpatched iOS Vulnerabili'es for Fun and Profit - PowerPoint PPT Presentation

Mar 12, 2023 •143 likes •989 views

Exploi'ng Unpatched iOS Vulnerabili'es for Fun and Profit Yeongjin Jang, Tielei Wang, Byoungyoung Lee, and Billy Lau Georgia Tech Informa;on Security Center

  1. Exploi'ng ¡Unpatched ¡iOS ¡ Vulnerabili'es ¡for ¡Fun ¡and ¡Profit ¡ Yeongjin ¡Jang, ¡Tielei ¡Wang, ¡ Byoungyoung ¡Lee, ¡and ¡Billy ¡Lau ¡ Georgia ¡Tech ¡Informa;on ¡Security ¡Center ¡(GTISC) ¡ ¡ 1 ¡

  2. Agenda ¡ • iOS ¡security ¡overview ¡ – Why ¡is ¡roo;ng ¡an ¡iOS ¡device ¡hard? ¡ • How ¡were ¡previous ¡jailbreaks ¡performed? ¡ – General ¡steps ¡ – Steps ¡in ¡evasi0n7 ¡ • How ¡was ¡evasi0n7 ¡patched? ¡ – Patch ¡logs ¡in ¡iOS ¡7.1 ¡ – Which ¡steps ¡were ¡fixed? ¡ 2 ¡

  3. Agenda ¡ • Analysis ¡of ¡patched/unpatched ¡vulnerabili;es ¡ – What ¡steps ¡need ¡to ¡be ¡re-­‑exploited? ¡ • Discovery ¡of ¡new ¡vulnerabili;es ¡to ¡replace ¡ patched ¡vulnerabili;es ¡ • Steps ¡for ¡Jailbreaking ¡iOS ¡7.1.2 ¡ 3 ¡

  4. iOS ¡Security ¡Overview ¡ • Why ¡is ¡roo;ng ¡an ¡iOS ¡device ¡hard? ¡ – Secure ¡Boot ¡Chain ¡ – Mandatory ¡Code ¡Signing ¡ – App ¡Sandbox ¡ – Privilege ¡Isola;on ¡ ¡ 4 ¡

  5. iOS ¡Security ¡– ¡Secure ¡Boot ¡Chain ¡ • Chained ¡code ¡signing ¡check ¡ – Verify ¡RSA ¡signatures ¡on ¡loading ¡of ¡each ¡code ¡ 5 ¡

  6. iOS ¡Security ¡– ¡Secure ¡Boot ¡Chain ¡ • Encrypted ¡firmware ¡ – Encrypted ¡with ¡GID ¡key ¡of ¡the ¡device. ¡ • GID ¡key ¡is ¡same ¡among ¡the ¡same ¡device ¡ – GID ¡of ¡iPhone ¡5 ¡!= ¡GID ¡of ¡iPhone ¡4 ¡ – Image ¡is ¡only ¡decrypted ¡on ¡the ¡device. ¡ • GID ¡key ¡is ¡not ¡designed ¡to ¡be ¡leaked. ¡ – Before ¡ge`ng ¡into ¡kernel ¡boot, ¡GID ¡key ¡is ¡disabled ¡by ¡iBoot. ¡ ¡ 6 ¡

  7. iOS ¡Security ¡– ¡Mandatory ¡Code ¡Signing ¡ • Code ¡signing ¡check ¡ – Enforced ¡by ¡kernel ¡(AMFI), ¡handled ¡by ¡a ¡user-­‑ space ¡daemon ¡(amfid) ¡ • Kernel ¡code ¡is ¡signed ¡(cannot ¡be ¡modified). ¡ • Signature ¡of ¡all ¡user-­‑level ¡code ¡is ¡checked ¡by ¡kernel. ¡ – Signing ¡En;ty ¡ • Apple ¡App ¡Store ¡/ ¡Developer ¡License ¡/ ¡Enterprise ¡ License ¡ • For ¡system ¡binaries ¡such ¡as ¡/bin/launchctl, ¡ – Their ¡hash ¡is ¡whitelisted ¡in ¡kernel. ¡ 7 ¡

  8. iOS ¡Security ¡– ¡Mandatory ¡Code ¡Signing ¡ • W+X ¡protec;on ¡ – What ¡will ¡be ¡happen ¡if ¡a ¡program ¡in ¡iOS ¡can ¡write ¡ a ¡code ¡and ¡jump ¡into ¡it? ¡ • A ¡way ¡of ¡bypassing ¡code ¡signing ¡check! ¡ 8 ¡

  9. iOS ¡Security ¡– ¡Mandatory ¡Code ¡Signing ¡ • W+X ¡protec;on ¡ – Disallows ¡having ¡both ¡write ¡and ¡execute ¡ permissions ¡on ¡any ¡single ¡memory ¡page ¡ • mmap() ¡with ¡PROT_WRITE ¡& ¡PROT_EXEC ¡will ¡fail ¡ – mprotect() ¡also ¡disallowed ¡to ¡change ¡permission ¡of ¡a ¡ previously ¡mapped ¡page ¡into ¡an ¡executable ¡page. ¡ • Only ¡allowed ¡apps ¡with ¡dynamic-­‑codesign ¡En;tlement, ¡ e.g. ¡MobileSafari, ¡for ¡u;lizing ¡Just-­‑in-­‑Time ¡compila;on ¡ – Google ¡Chrome ¡in ¡iOS ¡cannot ¡use ¡JIT, ¡upto ¡iOS ¡7. ¡ » iOS ¡8 ¡has ¡new ¡JIT-­‑enabled ¡WebView, ¡as ¡separated ¡ process. ¡ 9 ¡

  10. iOS ¡Security ¡– ¡App ¡Sandbox ¡ • All ¡third ¡party ¡apps ¡residing ¡at ¡/var/mobile/Applica;ons/* ¡ will ¡be ¡contained ¡by ¡a ¡built-­‑in ¡sandbox ¡profile ¡named ¡ container ¡ – Enforced ¡by ¡kernel. ¡ ¡ • For ¡some ¡built-­‑in ¡binaries, ¡ ¡the ¡sandbox ¡is ¡ini;ated ¡by ¡ invoking ¡APIs ¡in ¡libsandbox.dylib. ¡ – /usr/libexec/afcd, ¡etc. ¡ • Running ¡a ¡third ¡party ¡app ¡outside ¡of ¡the ¡container ¡will ¡ trigger ¡the ¡“ outside_of_container && ! i_can_has_debugger ” ¡excep;on ¡ – Non-­‑whitelisted ¡binary ¡(all ¡signed ¡binaries) ¡must ¡be ¡executed ¡ under ¡the ¡container. ¡ • Refer ¡to ¡“The ¡Apple ¡Sandbox” ¡talk ¡in ¡BH ¡DC ¡2011 ¡ 10 ¡

  11. iOS ¡Security ¡– ¡Privilege ¡Isola;on ¡ • UID ¡of ¡Apps ¡ – mobile ¡(501) ¡is ¡used ¡for ¡regular ¡apps ¡ • For ¡all ¡Developer, ¡Enterprise, ¡and ¡App ¡Store ¡apps. ¡ • A ¡few ¡daemons ¡run ¡as ¡root ¡ – syslogd, ¡lockdownd. ¡ 11 ¡

  12. Why ¡is ¡Roo;ng ¡an ¡iOS ¡Device ¡Hard? ¡ • Extremely ¡restricted ¡environment ¡in ¡sandbox ¡ – Mandatory ¡for ¡user-­‑wripen ¡or ¡App ¡Store ¡apps ¡ • Unable ¡to ¡run ¡unsigned ¡code ¡ – One ¡must ¡bypass ¡code ¡signing ¡checks ¡to ¡run ¡ apack ¡code ¡ • Privilege ¡escala;on ¡is ¡required ¡ – All ¡apps ¡are ¡running ¡as ¡mobile ¡(uid=501) ¡user ¡ • Cannot ¡permanently ¡modify ¡kernel ¡image ¡ – Integrity ¡checking ¡is ¡enforced ¡ 12 ¡

  13. General ¡Methods ¡for ¡Jailbreaking ¡ • Bypass ¡code ¡signing ¡ • Escape ¡the ¡sandbox ¡ • Privilege ¡escala;on ¡to ¡root ¡ • Patch ¡kernel ¡to ¡nullify ¡security ¡checks ¡ 13 ¡

  14. General ¡Methods ¡for ¡Jailbreaking ¡ • Bypass ¡code ¡signing ¡ – Exploit ¡vulnerabili;es ¡in ¡dyld ¡during ¡loading ¡of ¡ code. ¡ • evasi0n7, ¡Pangu ¡ – Use ¡R.O.P. ¡or ¡exploit ¡the ¡process ¡with ¡dynamic ¡ code ¡signing. ¡ • MobileSafari ¡ 14 ¡

  15. General ¡Methods ¡for ¡Jailbreaking ¡ • Escape ¡the ¡sandbox ¡ – Exploit ¡an ¡un-­‑sandboxed ¡process. ¡ – Exploit ¡design ¡flaw ¡in ¡sandbox ¡implementa;on. ¡ ¡ – Override ¡sandbox ¡func;ons ¡in ¡libsandbox.dylib. ¡ • Run ¡the ¡sandboxed ¡process ¡without ¡really ¡invoking ¡the ¡ sandbox ¡func;ons. ¡ – For ¡apps ¡in ¡the ¡container, ¡kernel ¡patching ¡is ¡ required. ¡ 15 ¡

  16. General ¡Methods ¡for ¡Jailbreaking ¡ • Root ¡Privilege ¡Escala;on ¡ – Exploit ¡vulnerabili;es ¡in ¡a ¡root ¡daemon. ¡ • CrashHouseKeeping, ¡etc. ¡ 16 ¡

  17. General ¡Methods ¡for ¡Jailbreaking ¡ • Patch ¡the ¡kernel ¡ – Disable ¡code ¡signing. ¡ – Disable ¡kernel-­‑enforced ¡sandbox. ¡ – Enable ¡RWX ¡mapping. ¡ – Enable ¡kernel ¡debugging ¡(task_for_pid ¡0). ¡ 17 ¡

  18. General ¡Methods ¡for ¡Jailbreaking ¡ • Apply ¡Permanent ¡Changes ¡ – Overwrite ¡the ¡root ¡par;;on ¡ • Remount ¡with ¡read/write ¡permission ¡(ver ¡< ¡iOS ¡7), ¡or ¡ use ¡afcd ¡(iOS ¡7.0.x). ¡ – Do ¡not ¡modify ¡cri;cal ¡parts ¡that ¡are ¡involved ¡in ¡ the ¡boot ¡sequence ¡ • Chained ¡integrity ¡check ¡could ¡block ¡boot ¡process. ¡ 18 ¡

  19. evasi0n7 ¡ • Exploited ¡mul;ple ¡vulnerabili;es ¡to ¡bypass ¡ code ¡signing ¡checks, ¡escape ¡the ¡sandbox, ¡and ¡ overwrite ¡the ¡root ¡par;;on. ¡ • Exploited ¡a ¡kernel ¡vulnerability ¡to ¡patch ¡the ¡ kernel. ¡ • Thanks ¡to ¡evad3rs ¡for ¡their ¡jailbreak ¡tool. ¡ • Thanks ¡to ¡geohot ¡for ¡his ¡detailed ¡write-­‑up. ¡ 19 ¡

  20. evasi0n7 ¡Workflow ¡ #1 ¡Install ¡an ¡app ¡ #3 ¡Enable ¡access ¡to ¡ with ¡craued ¡ /tmp ¡for ¡afcd ¡ Info.plist ¡ #5 ¡Bypass ¡ Code ¡signing ¡ #4 ¡Inject ¡environment ¡ variable ¡with ¡installd ¡ #2 ¡Get ¡execu;on ¡ of ¡afcd ¡ #6 ¡Inject ¡dylib ¡into ¡ a ¡non-­‑sandboxed ¡ process ¡ #7 ¡Get ¡access ¡to ¡ the ¡root ¡par;;on ¡ #8 ¡Overwrite ¡root ¡ #9 ¡Launch ¡a ¡kernel ¡ filesystem ¡ exploit ¡

  21. evasi0n7 ¡Workflow ¡ #1 ¡Install ¡an ¡app ¡ #3 ¡Enable ¡access ¡to ¡ with ¡craued ¡ /tmp ¡for ¡afcd ¡ Info.plist ¡ #5 ¡Bypass ¡ Code ¡signing ¡ #4 ¡Inject ¡environment ¡ variable ¡with ¡installd ¡ #2 ¡Get ¡execu;on ¡ of ¡afcd ¡ #6 ¡Inject ¡dylib ¡into ¡ a ¡non-­‑sandboxed ¡ process ¡ #7 ¡Get ¡access ¡to ¡ the ¡root ¡par;;on ¡ #8 ¡Overwrite ¡root ¡ #9 ¡Launch ¡a ¡kernel ¡ filesystem ¡ exploit ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Exploi:ng Memory Corrup:on Vulnerabili:es in the Java Run:me

Exploi:ng Memory Corrup:on Vulnerabili:es in the Java Run:me

Exploi:ng Memory Corrup:on Vulnerabili:es in the Java Run:me Joshua J. Drake December 15 th 2011 Please complete the Speaker Feedback Surveys! This will

747 views • 46 slides
Exploi'ng Leakage in Searchable Encryp'on and Machine

Exploi'ng Leakage in Searchable Encryp'on and Machine

Exploi'ng Leakage in Searchable Encryp'on and Machine Learning Tom Ristenpart Covering joint work with : David Cash, Paul Grubbs, Jason Perry

875 views • 56 slides
Sta$cDetec$onofSecurity Vulnerabili$esinScrip$ngLanguages

Sta$cDetec$onofSecurity Vulnerabili$esinScrip$ngLanguages

Sta$cDetec$onofSecurity Vulnerabili$esinScrip$ngLanguages ResearchbyYichenXie,AlexAikenof StanfordUniversity PresentedbyAdamBergstein Outline Background PHP

459 views • 41 slides
Lo Locally Differentially Private Frequency Es Esti timati tion on Ex Exploi oiti ting Con

Lo Locally Differentially Private Frequency Es Esti timati tion on Ex Exploi oiti ting Con

Lo Locally Differentially Private Frequency Es Esti timati tion on Ex Exploi oiti ting Con Consi sistency Tianhao Wang Purdue University Joint work with Milan Lopuha-Zwakenberg, Zitao Li, Boris Skoric, Ninghui Li 1 Privacy in

336 views • 14 slides
ZigZag: Automa,cally Hardening Web Applica,ons Against Client- side Valida,on Vulnerabili,es

ZigZag: Automa,cally Hardening Web Applica,ons Against Client- side Valida,on Vulnerabili,es

ZigZag: Automa,cally Hardening Web Applica,ons Against Client- side Valida,on Vulnerabili,es PRESENTED BY SAI TEJ KANCHARLA Content Introduc,on Mo,va,on And Threat Model System Overview Invariant Detec,on Invariant

549 views • 26 slides
NON NON- -PROFIT SUPPORT PROFIT SUPPORT NON NON - - PROFIT SUPPORT PROFIT SUPPORT FOR

NON NON- -PROFIT SUPPORT PROFIT SUPPORT NON NON - - PROFIT SUPPORT PROFIT SUPPORT FOR

NON NON- -PROFIT SUPPORT PROFIT SUPPORT NON NON - - PROFIT SUPPORT PROFIT SUPPORT FOR RESEARCH FOR RESEARCH FOR RESEARCH FOR RESEARCH Daniel L. Goroff Alfred P. Sloan Foundation Vice President &amp; Program Director Views expressed

627 views • 52 slides
Anna Satsiou, CERTH AIM PROFIT Playground Technology Advancements of PROFIT

Anna Satsiou, CERTH AIM PROFIT Playground Technology Advancements of PROFIT

Anna Satsiou, CERTH AIM PROFIT Playground Technology Advancements of PROFIT PROFIT Use Scheme PROFIT Target Users COLLECTIVE COMMUNITY AWARENESS Subscribe to our newsletter PROFIT Team 1st Int.

455 views • 13 slides
1 Overview Jobactive is Non for profit and for profit organisations that are contracted by

1 Overview Jobactive is Non for profit and for profit organisations that are contracted by

1 Overview Jobactive is Non for profit and for profit organisations that are contracted by the Australian Government through the Department of Jobs and Small Business To deliver employment services to Unemployed jobseekers on

412 views • 26 slides
PROFIT SHARE TRAINING Welcome to our ShopFreeMart profit share training For those of you who may

PROFIT SHARE TRAINING Welcome to our ShopFreeMart profit share training For those of you who may

PROFIT SHARE TRAINING Welcome to our ShopFreeMart profit share training For those of you who may be new to ShopFreeMart, ShopFreeMart is the first of its kind Member Shopping Club that is free to join and which pays generous profit shares back to

644 views • 27 slides
1 Current Security Monitoring Current Network Monitoring Visualization Humans learn visually

1 Current Security Monitoring Current Network Monitoring Visualization Humans learn visually

Overview The Thin Blue Line: Security SysAdmins Current state of Internet Security Better Tools for System Administration: all metrics show bad -&gt; worse unpatched software vulnerabilities Enhancing the Human-Computer

583 views • 6 slides
GROUP PERFORMANCE DASHBOARD 32% Profit increase from $105 000 in H1 ,2013 to a Profit after

GROUP PERFORMANCE DASHBOARD 32% Profit increase from $105 000 in H1 ,2013 to a Profit after

Business Fundamentals are now S tr ong UNAUDITED FINANCIAL RESULTS FOR THE HALF YEAR ENDED 30 JUNE 2014 WEDNESDAY 24 SEPTEMBER 2014 GROUP PERFORMANCE DASHBOARD 32% Profit increase from $105 000 in H1 ,2013 to a Profit

728 views • 35 slides
Q2 January June Profit before tax SEK 451m (13) Profit before tax adjusted for exit

Q2 January June Profit before tax SEK 451m (13) Profit before tax adjusted for exit

Interim report 2015 Q2 January June Profit before tax SEK 451m (13) Profit before tax adjusted for exit gain SEK 215m (13) Earnings per share before dilution SEK 0.65 (-0.39) Good earnings and sales development in the

751 views • 29 slides
Shorting for Fun and Profit Nah, Just Profit Michael Shulman Editor, ChangeWave Shorts and

Shorting for Fun and Profit Nah, Just Profit Michael Shulman Editor, ChangeWave Shorts and

Shorting for Fun and Profit Nah, Just Profit Michael Shulman Editor, ChangeWave Shorts and Author, Sell Short April 2009 Fundamental Shorting A trade, using a put based on the fundamentals of a company and its stock A faster way to

724 views • 25 slides
Vital Forsikring ASA Accounts first quarter 2011 Profit doubled Results Profit before tax

Vital Forsikring ASA Accounts first quarter 2011 Profit doubled Results Profit before tax

Vital Forsikring ASA Accounts first quarter 2011 Profit doubled Results Profit before tax NOK 596 million Competitive investment return Improved risk result Operation 11.2 per cent growth in premium income Positive transfers

409 views • 14 slides
Washington Middle School Non-profit subsidiary Community Private, 501(c) 3 non-profit

Washington Middle School Non-profit subsidiary Community Private, 501(c) 3 non-profit

Washington Middle School Non-profit subsidiary Community Private, 501(c) 3 non-profit Housing Development Organization (CHDO) of OLHSA corporation, working in Oakland County since 1964 Mission: Mission: Strategically

410 views • 17 slides
In Massachusetts Developer Profile For-profit local developers For profit national

In Massachusetts Developer Profile For-profit local developers For profit national

MassDevelopment Supporting Affordable Housing In Massachusetts Developer Profile For-profit local developers For profit national developers Local non-profit developers Local CDCs Housing Authorities Projects 40B permit,

59 views • 4 slides
Cost-Effective Compiler Directed Memory Prefetching and Bypassing Daniel Ortega, , Eduard

Cost-Effective Compiler Directed Memory Prefetching and Bypassing Daniel Ortega, , Eduard

Cost-Effective Compiler Directed Memory Prefetching and Bypassing Daniel Ortega, , Eduard Ayguad e , Jean-Loup Baer and Mateo Valero Departamento de Arquitectura de Computadores, Department of

676 views • 39 slides
based Last Level Cache Kunal Korgaonkar, Ishwar Bhati, Huichu Liu, Jayesh Gaur, Sasikanth

based Last Level Cache Kunal Korgaonkar, Ishwar Bhati, Huichu Liu, Jayesh Gaur, Sasikanth

Density Tradeoffs of Non-Volatile Memory as a Replacement for SRAM based Last Level Cache Kunal Korgaonkar, Ishwar Bhati, Huichu Liu, Jayesh Gaur, Sasikanth Manipatruni, Sreenivas Subramoney, Tanay Karnik, Steven Swanson, Ian Young and Hong Wang

373 views • 18 slides
Boxed Out: Blocking Cellular Interconnect Bypass Fraud at the Network Edge Brad Reaves * , Ethan

Boxed Out: Blocking Cellular Interconnect Bypass Fraud at the Network Edge Brad Reaves * , Ethan

Boxed Out: Blocking Cellular Interconnect Bypass Fraud at the Network Edge Brad Reaves * , Ethan Shernan ** , Adam Bates * , Henry Carter ** , Patrick T raynor * *Florida Institute for Cyber Security University of Florida **Georgia Institute of T

421 views • 23 slides
AVPASS: Automatically Bypassing Android Malware Detection System Jinho Jung, Chanil Jeon, Max

AVPASS: Automatically Bypassing Android Malware Detection System Jinho Jung, Chanil Jeon, Max

AVPASS: Automatically Bypassing Android Malware Detection System Jinho Jung, Chanil Jeon, Max Wolotsky, Insu Yun, and Taesoo Kim Georgia Institute of Technology, July 27, 2017 Ab About t Us SSLab (@GT) Focusing on s ystem and security

1.25k views • 72 slides
Cloud Interconnections William B. Norton Console, Chief Scientist Last Updated: 9/19/16 4:04pm

Cloud Interconnections William B. Norton Console, Chief Scientist Last Updated: 9/19/16 4:04pm

Cloud Interconnect Models v1.6 Cloud Interconnections William B. Norton Console, Chief Scientist Last Updated: 9/19/16 4:04pm Comments to the author welcome: wbn@console.net Cloud Interconnections William B. Norton Console, Chief Scientist

300 views • 12 slides
Bypassing Microsoft JEA role capabilities for fun &amp; profit whoami Cristhian Parrot -

Bypassing Microsoft JEA role capabilities for fun &amp; profit whoami Cristhian Parrot -

Bypassing Microsoft JEA role capabilities for fun &amp; profit whoami Cristhian Parrot - @elc0rr3Km1n0s Sr. Penetration Tester &amp; Lead Auditor @Airbus Father, Bug Hunter, Tech-entrepreneur Plan Intro Install Prerequisites

376 views • 22 slides
2PAC 2Furious: Envisioning an iOS compromise in 2019 Marco Grassi - @marcograss Liang Chen -

2PAC 2Furious: Envisioning an iOS compromise in 2019 Marco Grassi - @marcograss Liang Chen -

2PAC 2Furious: Envisioning an iOS compromise in 2019 Marco Grassi - @marcograss Liang Chen - @chenliang0817 About Us Members of Tencent KEEN Security Lab (formerly known as KeenTeam) Marco (@marcograss): My main focus is

846 views • 61 slides
A GHOST FROM POSTSCRIPT for RUXCON 2017 A GHOST FROM POSTSCRIPT WHO ARE WE redrain

A GHOST FROM POSTSCRIPT for RUXCON 2017 A GHOST FROM POSTSCRIPT WHO ARE WE redrain

REDRAIN &amp; MIN(SPARK) ZHENG A GHOST FROM POSTSCRIPT for RUXCON 2017 A GHOST FROM POSTSCRIPT WHO ARE WE redrain min(spark) zheng Qihoo 360CERT CUHK PhD Alibaba Security Expert Low-level security researcher Pentester with interest in

818 views • 52 slides

More recommend