iOS checkra1n 越獄受影響裝置之惡意指令快速實作

上篇文章提到,透過 checkra1n,攻擊者將可以輕鬆植入間諜軟體後門。本人基於實驗精神,並且為了解答大部分的人的疑惑:「如何在沒有密碼的情況下可以進行資料盜取」,本文將簡單用 shell script 做一個自動發送照片的後門指令。

首先,必須準備受 checkm8 影響的裝置,以及使用 checkra1n 軟體。

在此範例中,我們要嘗試盜取使用者的照片,但透過 checkra1n 越獄之後,因為在開機後需要輸入一次密碼,後續才可以「讀取」使用者資料,未輸入密碼前只能「列表」使用者資料。所以不知道密碼的攻擊者在這個時候還不能獲得照片資料,但是攻擊者已經可以開始準備後門。

請注意,系統區跟使用者資料區是分開的,在沒有密碼的情況下,攻擊者可以直接寫入系統區的 /tmp 路徑,甚至不需要重新掛載根目錄

所以我簡單寫了一個 shell script:

假設我們已知受害者目前在手機上已經拍過九張照片,因此下次拍照的檔名會叫 IMG_0010.JPG。所以這個 script 就是每兩秒檢查一下 IMG_0010.JPG 存不存在,不存在的話則繼續等待,一旦檔案存在,就傳送到遠端主機。當然,指令可以不必寫這麼死,可以更彈性地上傳所有相片,不過這邊只是一個簡單的範例而已。

checkra1n 越獄後預設就有 scp 傳送跟接收功能,也有 vim 可以編輯檔案。因此可以把 scp 用到的 ssh key 丟進去手機裡面,由於手機的 ssh 實際上是 dropbear,因此 key 要先自行從 OpenSSH 格式轉換為 dropbear 格式。此外可以使用 vim 把指令寫到 /tmp 裡面。

接著在電腦的終端機( iPhone 沒有解鎖下)輸入指令:

感謝 checkra1n,內建附送我們 nohup 跟 scp 兩個指令,讓我不需要再去自行編譯。下了這個指令之後,我們上面寫的 shell script 就會在背景執行了。

以上就完成了植入惡意指令部分了,接下來只要把手機還給受害者,等待他下一次拍照時,若手機在期間沒有重啟過,因為那時候手機必定是解鎖狀態(受害者用自己密碼解鎖),被入侵的 iPhone 就會自動上傳該照片到我們的伺服器了,收工!

7 則留言

  1. 「Dao Hung Chang」的個人頭像
    Dao Hung Chang

    推一下 我從電腦發出SCP跟手機連線失敗,(裝完cydia ok), 但裝完checkra1n ios內就有scp ,這樣也可處理傳送檔案.

    1. 「皮樂」的個人頭像
      皮樂

      我越獄後連 checkra1n loader 都沒點開就可以傳 SCP 了,port 是 44 轉 2222 不是以往的 22 轉 2222, 要留意一下

  2. 「origamithinker」的個人頭像

    是否可以提供完整操作影片
    一隻完全無越獄過的手機
    是否能直接植入惡意腳本
    在未解鎖 不重刷機的情況
    在iPhone(未越獄過)連接到新電腦時 未解鎖信任
    應該連tmp folder都看不到 才對
    如果像樓主所說的 應該早就造成大量資安漏洞
    什麼都拿得到

    1. 「皮樂」的個人頭像
      皮樂

      這篇講的前提就是未越獄手機可以在沒有使用者同意下被強制越獄,被強制越獄後就可以看到了,不需解鎖信任

      當然沒有被別人偷拿去越獄就不會有問題了。

  3. 「J」的個人頭像
    J

    如何檢查自己的手機是否有越獄呢?

  4. 「廢物睿」的個人頭像
    廢物睿

    有可能惡意攻擊後,開機但鎖死瑩幕,附近全新手機開機,能直接跨裝置攻擊新機?

    1. 「Hiraku」的個人頭像
      Hiraku

      聽不懂你在說什麼...

發佈留言