脱獄なしのiOSアプリケーションの動的分析

この記事のフレームワークでは、iOSアプリケーションのセキュリティの分析に関連するいくつかの問題を解決した経験を共有したいと思います。 レビューには、JailBreakを搭載したiOSデバイスがないという条件が適用されます。

静的分析と 動的解析

分析の種類とそれらの小さな比較から始めます。 静的分析により、左のアカウントデータからさまざまな種類の「しおり」や脆弱性に至るまで、多数の問題を特定できます。 iOSアプリケーションについて言えば、IDA Pro、Hopper Disassembler、MobSF、またはRadare2がこの問題に役立つことに注意してください。 このアプローチの利点は、使用されていないコードを含むファイル、コードを比較的完全にスキャンできることです。



動的分析は、操作/実行中にアプリケーションがどのように直接動作するかを見つけるのに役立ちます。たとえば、実行の1つまたは別の瞬間におけるプログラムの状態（メモリの内容、レジスタ、変数の値）の調査、作業のロジックの調査などです。



これらの2つのアプローチを使用することで、アプリケーションの分析に関する最も定性的な作業を行い、攻撃対象領域全体をカバーし、エラーと脆弱性の最大数を見つけることができます。

基準	静的解析	動的解析
コードと データ	問題	問題ない
コードカバレッジ	大（ただしすべてではない）	片道
値データ	情報なし	すべての情報
自己修正コード	問題	問題ない
ランタイムの脆弱性	いや	はい
未使用コード	分析済み	分析されない

動的解析

モバイルアプリケーションの動的分析は、デバイスまたは最悪の場合エミュレーターなしでは不可能です。 ほとんどの場合、実際のデバイスが優先されます（タスクの並列化があまり必要ない場合）。 しかし、実際のデバイスの存在は、研究者自身にとってより高価です...また、アプリケーションを分析するために、デバイスに独自のアプリケーションとツールをインストールする簡単な能力が必要です。

Androidの状況

Androidアプリケーションの探索では、多くの場合、古い安価なバージョンのデバイスや開発環境のエミュレーターでも十分に対応できます。 Androidでは、独自のツールとアプリケーションをインストールするために、ユーザーの特権を増やす、つまり「ルートアクセスを取得する」簡単な機会があります。 中国の兄弟の古いデバイスでは、1回のクリック/タップでスーパーユーザー特権を取得するために、一度に設定の切り替えさえありました。 日常的に使用される個人用デバイスでは、ルートは、手に負えない状態でシステムのセキュリティを著しく弱め、マルウェア感染を引き起こす可能性があるため、これはお勧めしません。 しかし、研究室の研究の枠組みでは、これは必要なことであり、研究のコースを加速および改善することができます。

IOSの状況

iOSアプリケーションのセキュリティ監査を実施する場合、いくつかの追加のポイントが表示されます。

• デバイスのコストは最低ではありません。 ただし、別のデバイスが必ず必要です-同じ個人用デバイスを使用しないでください
• デバイスのバージョン-古い携帯電話は適していません。 多くの場合、Force Touch / Touch ID /などの最新機能が必要です。
• デバイスのタイプ-電話、タブレット、時計-これらはすべて分析に重要な役割を果たします（特定のタイプのデバイスのバージョンにのみ同じアプリケーションの脆弱性が存在するケースを見てきました）
• iOSバージョンの関連性-iOS APIは常に進化しています。品質分析のために、分析自体はiOSの最新バージョンで実行する必要があります
• デバイス上のJailBreakの存在-上記のすべてを考慮して、アプリケーションとツールをインストールする

脱獄

以前は、最初のiPhoneがリリースされたばかりのとき、リリースの数日後にハッキングされました。 オペレーティングシステムの4番目のバージョンまで、かなり低いレベルのセキュリティが残っていました。研究者は拡張機能を作成（調整）し、iOSをビルドしてアプリケーションを追加しました。 時間が経つにつれて、Appleはセキュリティへのアプローチを変更し、システムの保護を大幅に強化しました。また、Jailbreakデバイス用に作成された最も人気のある機能の一部をアップデートに追加しました。 たとえば、コントロールセンターは当初は微調整でしたが、後にiOSの組み込みコンポーネントになりました。 システムの新しいリリースごとに、脆弱性を見つけて悪用する時間を増やし、途中でAPIと機能の可用性を変更しました（一部をプライベートに、一部をパブリックに移行）。 これらの変更や他の多くの変更により、微調整（システムのアドオン）およびアプリケーションの開発者の生活は困難になり、頭脳は新しいAPIと機能、およびセキュリティ研究者による更新を余儀なくされました。 デバイスの保護の強化は、「悪者」、特別なサービス、およびデバイス上のデータにアクセスしたいすべての人々のプラットフォームへの細心の注意によっても影響を受けました。 そのため、今日、iOS用のリモートJailBreakの価格は150万ドルに達します。







時間が経ち、JailBreakの作成の原点にいた多くの人が、情報セキュリティ会社、 Apple自身に雇われるか、公開JailBreakを公開および作成せずに、さまざまな個人に脆弱性を販売し始めました。 このすべて（プラットフォームのセキュリティレベルの向上と脆弱性の市場への流出）により、公共のJailBreaksの出現が少なくなっています。



現時点では、脱獄の使用に適したiOSの最新の最新バージョンはiOS 10.2です。 iOS10.2.1–11の他のすべてのバージョンにはまだ確認がなく、多くのツイートにはビデオまたは写真/スクリーンショット以外のものは含まれていません。 デバイスのセキュリティ監査を実施するには、多くの要因を満たさなければならず、実際のJailBreakの存在が障害となります。

余談

Tencent Security Summit 2017で、研究者のChris WadeがiPhone 6の完全仮想化プロジェクトを発表しました。公開されておらず、どのようにいつどのように表示されるかはまだわかりません。 しかし、間違いなく、これはiOSに関連する多くの分野にとって非常に大きな一歩です。

1 2 3

IOSアプリケーションセキュリティ分析

次第に、この記事のメイントピックに進みます。 そのため、概して、アプリケーション/システムの分析には3つのタイプがあります。

• WhiteBox-このタイプの作業の一環として、顧客はアプリケーションに関するすべての情報（ソースコード、ドキュメントなど）を提供します。 そして、ここでは、変更、アセンブル、実行、分析など、アプリケーションを自由に使用できます。 JailBreakがなくても、利用可能なデバイスで。
• GrayBox-この状況では、顧客は何らかの理由でアプリケーションのソースコードを提供しませんが、分析のためにアプリケーションの特別なアセンブリを作成できます。 たとえば、すべてのデバッグメッセージと機能がオンになり、SSLピニングがオフになり、独自のライブラリが内部にあるため、アプリケーションの分析が簡単になります（詳細は後で説明します）。 このようなアセンブリは、JailBreakのないデバイスで問題なく実行されます。
• BlackBoxは、アプリケーションとそのアセンブリに影響を与える能力に関する追加情報を持たない実際の攻撃者の状況を完全に反映するモデルです。 ここでは、アプリケーション配布ストアに移動し、そのうちの1つをダウンロードして、それを使って何かを試みます。 ここでは、顧客が侵入者のそのようなモデルで作業したいと考えている可能性があり、BugBountyプログラムに一部の開発者が参加しています。 理論的にはJailBreakなしではできないため、アプリケーションを動的に探索するときに問題が発生する場所です。

脱獄のないiOSアプリケーションの動的セキュリティ研究

この種の研究を行うには、研究者の準備と環境設定が必要です。そのため、計画の実施に必要な手順をマニュアル形式で以下に説明します。 Xcodeプロジェクト（署名、デバイスへの配信など）を使用する場合など、一部の手順がスキップされる場合があることに注意することが重要です。



ステップ0.準備



調査を開始するには、環境に関するいくつかの簡単な条件を観察する必要があります。

• Xcodeを使用したmacOS
• Apple開発者アカウント
• JailBreakのないiOSデバイス
• 調査したアプリケーションの復号化された.ipaファイル
• アプリケーションに追加されるフレームワーク

手順1. .ipaファイルを抽出する



分析に必要なIPAファイルを取得するには、いくつかの方法があります。

• iTunesから（iTunes <12.7.X +）

iTunes.appからAppStoreでアプリケーションを購入すると、添付の.ipaファイルを購入者のAppleIDに取得できます。これにより、変更の可能性が制限されますが、バイナリファイルの静的分析が可能になります。 iTunes.appのバージョン制限は、最新のアプリの更新によるものです。AppleはAppStoreセクションを削除しました 。

• iFunBox、TestFlight（iOS≤8.3）

iOSデバイスのファイルシステムを管理するためのアプリケーション。 完全な機能は、iOSバージョンがiOS 8.3以下のデバイスでのみ使用できます。

• 古いバージョンの.ipaファイルをiTunesからダウンロードします（iTunes <12.7.X +）

これは、トラフィックを自分でリダイレクトできるアプリケーション（Charles Proxy、Burp、..）を使用することで可能になります。 次に、iTunesを起動して、選択したアプリケーションをダウンロードする必要があります。 次に、要求をインターセプトし、パッケージXMLファイルでダウンロードに必要なアセンブリ番号を変更して、実行を継続します。 詳細についてはこちらをご覧ください 。

• オンライン、たとえばipastore.meまたはw3bsit3-dns.com（ここではすぐに解読されます）

AppleIDに縛られることなくダウンロードでき、フレームワークへの参加に必要な操作を実行できるアプリケーションを備えたサイトおよびフォーラム-

最適なソリューションですが、銀行のアプリケーションには注意する必要があります:)



ステップ2-3。 データ抽出および復号化.ipa



JailBreakが必要な場合、ルールからわずかに逸脱します-復号化された.ipaファイルを受信するステップのため。 これはまず、AppStoreからアクセスできないアプリケーション（たとえば、「特別なアセンブリ」やTestFlight）に適用されます。 所有者のAppleIDにバインドせずに、変更されたbinarを組み立てるには、復号化されたファイルを取得する必要があります。 これを行うには、JailBreakデバイス用のアプリケーションを使用できます（たとえば、友人のアンロードを要求する:)

• Github：/ stefanesser / dumpdecrypted
• GitHub：/ KJCracks /クラッチ
• GitHub：/ easonoutlook / Rasticrac

または、公開されているアプリケーションの場合は、次のようなリソースからダウンロードしてください。

• iphonecake.com
• W3bsit3-dns.com

ステップ4.フレームワークを追加する



フレームワークを.ipaファイルに追加する最も便利な方法の1つは、Xcodeプロジェクトを使用することです。 GitHubには多くのプロジェクトがありますが、私たちの意見では、最も成功し、効率的で直観的な2つのプロジェクトを取り上げたいと思います。

• GitHub：/ jamie72 / IPAPatch （明らかにするための理想/ cycript）
• GitHub：/ vtky /辞任 （フリーダ/などに最適）

前者の場合は、目的の.ipaファイルを置き換えてアプリケーションをコンパイルするだけのデモがあり、後者の場合は、.ipaファイルと添付する必要があるフレームワークをドラッグアンドドロップします。 最初のプロジェクトの利便性は、ライブラリの導入に加えて、研究者が独自のコードを追加できることです。これは、起動後に機能します。

.ipaファイルには何を入れることができますか？

答え：あなたの心が望むものは何でも！ ただし、アプリケーションのセキュリティ分析の観点から、次の既製のフレームワークの使用を推奨できます。



フリーダ （ GitHub：/ フリーダ / フリーダ ）



現在活発に開発されている数少ないフレームワークの1つで、プロセス内にJSコードを実装し、アプリケーションの起動を追跡し、ダウンロードプロセスの終了前にパッチを適用できるようにします。 その利点は、タスクの簡単な拡張性、アクションをスクリプト化する機能、便利なクライアントです。 何もせずにFridaガジェットのみをプロジェクトに追加することで、プログラム内で発生している呼び出しを検出し、後で静的分析（r2 + frida）に適用することがすでに可能です。



このプロジェクトの便利なリンク：

• ZeroNights'15ワークショップ
• フリーダ異議
• 素晴らしいフリーダ（例）
• そしてもう一つ

Cycript （ www.cycript.org / GitHub：/ nowsecure / frida-cycript ）



Fridaフレームワークと機能が似ているため、プロセスに潜入し、対話型コンソールを介して環境変数とメモリを操作できます。 Javascriptだけでなく、Objective-Cもサポートしています。



このプロジェクトの便利なリンク：

• マニュアル
• Cycript @ 360 iDev 2013

CydiaSubstrate （ cydiasubstrate.com / mobilesubstrate_iphoneos -arm.deb ）



Saurik自体の伝説的なフレームワークにより、ソースコードなしでアプリケーションを変更し、APIを操作して、ソースなしであらゆる方法でアプリケーションをねじることができます。 しかし、現時点では、かなり長い間更新されていないため、独自の危険とリスクがある場合にのみ使用する必要があります。 さらに、iOSの開発によりAPIに変更が加えられるため、iOSの一部のバージョンではまったく役に立たない場合があります。



明らかにする （ revealapp.com ）



この一連のフレームワークの中で最も非標準的なもの。 UI / UXの分野や、隠しフィールド、アタッチされたオブジェクトなどの存在に関するインターフェースの設計を検討するのに適しています。 プラスは、テレビとウォッチのサポートです。



ステップ5.アプリケーション署名



適切な開発者署名がないと、アプリケーションをスマートフォンにインストールできません（JailBreakのないデバイスがあることを忘れないでください）。 証明書を自動的に取得するXcodeを使用しない場合は、いずれかのツールを使用して手動でこれを実行できます。

• Github：/ nowsecure / node-applesign
• GitHub：/ DanTheMan827 / ios-app-signer

どちらも非常にうまく機能しており、途中で証明書を使用して正しく再署名されたアプリケーションを取得します。



ステップ6.デバイスへの配信



ターゲットを選択した後、Xcodeプロジェクトとデバイスを使用して、アプリケーションがスマートフォンに自動的に配信および起動されます。 出力に.ipaファイルのみが含まれている場合、次のユーティリティがそのインストールに役立ちます。

• インパクター（すべてのAppleID）
• iFunBox（iOS≤8.3）
• JB GitHub：/ autopear / ipainstaller

非常に簡単に言うと、各ステップの説明と各ステップを実行するのに役立つユーティリティを含む図は次のとおりです。



そして最後に、それがすべてどのように見えるかについてのいくつかのデモ：



デモ1





説明 ：



このプロジェクトは、「復号化された」.ipa FaceTuneとFridaGadgetから組み立てられています。 それとフリーダ、通話追跡を実行します。



デモ2





説明 ：

デモ1からプロジェクトを構築し、FridaでObjectionアドオンを起動し、アプリケーションフォルダーのコンテンツを表示し、アラートを呼び出し、キーチェーンのコンテンツを読み取ります。



この作品はVolgaCTF'17で少し前に発表されました。レポートのスライドはこちらでご覧いただけます 。



d1g1の準備にご協力いただきありがとうございます



UPD：

appdb.store-開発者アカウントを添付すると、オンラインで無料でアプリケーションに署名できます。 そこから復号化されたバイナリをダウンロードすることもできます。

ありがとうZonD80