Lamiyi

iOSハッカーの「ドリームチーム」がHITBSecConfでコロナ脱獄の仕組みを説明。

-
GreenPois0n Absintheは、@pod2gのCorona untether jailbreakをベースに構築され、iPhone 4SおよびiPad 2の5.0.1ファームウェア以降に対応した初の公開ジェイルブレイクを実現しました。本稿では、サンドボックスからの脱出、カーネルへの未署名コードインジェクションと実行を実現し、フル機能かつアンテザードなジェイルブレイクを実現する複数のエクスプロイトの連鎖を紹介します。

Coronaは「racoon」の略称で、今回の攻撃の主な被害者です。racoonのエラー処理ルーチンにフォーマット文字列の脆弱性が見つかり、研究者はracoonの設定ファイルを制御できれば、racoonのスタックに任意のデータを1バイトずつ書き込むことができました。この手法を用いて、研究者はracoonのスタック上にROPペイロードを構築し、カーネルレベルでコードを挿入する不正なHFSボリュームをマウントし、コード署名ルーチンにパッチを適用することに成功しました。

オリジナルのCorona untetherエクスプロイトは、LimeRa1nブートROMエクスプロイトをインジェクションベクターとして利用し、開発者がASLRとサンドボックスを無効化し、カスタム設定スクリプトでracoonを呼び出すことを可能にしていました。しかし、iPad2やiPhone 4Sといった新しいA5デバイスではLimeRa1nがエクスプロイトとして利用できなかったため、別のインジェクションベクターが必要でした
。

完全なプレゼンテーションノートはここから入手できます。