El jailbreak Checkm8 y AltStore agrietan el jardín amurallado de Apple

Credit to Author: Naked Security| Date: Tue, 01 Oct 2019 13:33:40 +0000

Jailbreak iPhones se ha vuelto mucho más difícil con cada nueva versión del hardware, pero este fin de semana hemos visto dos nuevos anuncios que permiten instalar aplicaciones en sus teléfonos. Uno de ellos es un jailbreak tradicional, mientras que el otro es una tienda de aplicaciones alternativa que utiliza un vacío en el proceso de firma de código de Apple.

Jailbreak es un tipo de escalada de privilegios. Los hackers descubren formas de cambiar el núcleo del sistema operativo, desbloqueando funciones que Apple había bloqueado. Uno de sus usos más comunes es instalar aplicaciones que Apple no permite en su tienda de aplicaciones porque están fuera de la estricta política de revisión de desarrolladores de la empresa.

El viernes pasado, el investigador de seguridad de iOS @axi0mX publicó en Twitter un bug de jailbreak que afectaba  desde el iPhone X hasta el iPhone 4S con el chip A5, que la empresa lanzó en 2011. No funciona en la familia del iPhone 11 anunciado este mes, impulsado por el nuevo chip A13 de la compañía.

El código, publicado en GitHub de forma gratuita, se basa en una condición de carrera en la ROM de inicio de Apple. Esta es la primera pieza de hardware desde la que el iPhone carga el código cuando se enciende, y es una parte del hardware de solo lectura que Apple no puede reparar.

Para demostrar su idea, @axi0mX también tuiteó un video de un iPhone arrancando en modo detallado, usando la última versión de iOS 13.1.1. Etiquetaron el jailbreak como checkm8, y dijeron que es un “exploit del ROM de inicio permanente compatible con cientos de millones de dispositivos iOS”.

Hay algunas limitaciones. No es un jailbreak persistente, porque solo funciona en la memoria. Eso significa que se debe ejecutar cada vez que se inicia el teléfono. Tampoco funciona de forma remota. Debe ejecutarlo iniciando el teléfono en modo Actualización de firmware del dispositivo (DFU) y conectándolo a un ordenador. Finalmente, no rompe Touch ID ni el Secure Enclave de Apple (el chip encriptado dentro del iPhone que guarda sus secretos más valiosos). Todo esto significa que no es tan útil para las empresas que desean robar datos de iPhones.

Sin embargo, el código ayudará a los investigadores a desarrollar sus propios jailbreaks, dijo el hacker. También facilitará a los desarrolladores encontrar errores en varias versiones de iOS porque podrán investigar más a fondo los teléfonos sin obtener versiones especiales para desarrolladores distribuidas por Apple de forma limitada.

Una tienda de aplicaciones alternativa

Otro desarrollador, el estudiante de USC Riley Testut, tomó una táctica diferente para sortear las estrictas reglas telefónicas de Apple al publicar AltStore, una tienda de aplicaciones alternativa para dispositivos sin jailbreak.

Apple solo permite instalar aplicaciones aprobadas por su propia tienda de aplicaciones, con la excepción de las empresas que reciben certificados empresariales, que permiten a sus propios empleados instalar sus aplicaciones personalizadas.

El sistema de Testut se basa en una política de Apple que permite a los usuarios instalar sus propias aplicaciones utilizando su propio ID de Apple.

Los usuarios primero instalan un programa llamado AltServer en su ordeandor, que luego controla el iPhone a través de la capacidad de sincronización inalámbrica de iTunes. Utiliza la ID de Apple del propietario para registrar primero la aplicación AltStore en el teléfono y luego otras aplicaciones no aprobadas que el usuario desea instalar. Testut explicó:

… ya que no hay un único certificado de empresa para revocar (porque técnicamente cada usuario ahora tiene su propio certificado de desarrollador utilizando este proceso), Apple no puede simplemente cerrarlo con solo presionar un botón como lo han hecho con algunas tiendas de aplicaciones de terceros

La aplicación tiene que dar algunos rodeos. Apple solo permite que las aplicaciones instaladas con el ID de Apple del usuario funcionen durante siete días antes de renovarlas, por lo que AltServer renueva las aplicaciones en su nombre (lo que significa que debe sincronizar con AltServer al menos una vez por semana).

Apple también solo permite tres aplicaciones firmadas por el propietario del iPhone en el teléfono en cualquier momento, y lo consigue buscando archivos llamados perfiles de aprovisionamiento cuando instala una nueva aplicación. AltServer lo soluciona eliminando todos los perfiles de aprovisionamiento de otras aplicaciones no aprobadas cuando desea agregar una nueva aplicación y luego vuelve a colocar los otros perfiles. Debido a que Apple solo busca estos perfiles cuando instala una aplicación, AltServer puede usar esta técnica para instalar tantas aplicaciones como se desee.

Parece que Testut ha encontrado una forma viable de obtener aplicaciones sin hacer un jailbreak, aunque Apple podría limitar las capacidades de su sistema cambiando la forma en que verifica los perfiles de aprovisionamiento. El descubrimiento de @axi0mX promete ser mucho más preocupante para el fabricante del teléfono. Como lo expresó Shahar Tal, vicepresidente de investigación en los laboratorios de investigación de seguridad de Cellebrite (que desbloquea iPhones por orden legal):

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

http://feeds.feedburner.com/sophos/dgdY