كشف السر وراء طريقة عمل أداة الجيلبريك غير المقيد Evasi0n

أصبحنا الآن في مرحلة متقدمة جدًا بعد إطلاق الجيلبريك غير المقيد لنظام iOS 6 وحتى iOS 6.1، حيث أن الهاكرز الآن يقوموا فقط باكتشاف بعض أخطاء الجيلبريك البسيطة وإصلاحها، حيث أن الأمر الآن ليس أكثر من تحسينات وتحديثات تخص أدوات eavsi0n على الحاسوب والسيديا.

لكن حتى اللحظة، بقي أمر بالفعل غريب، فلو رجعنا في الزمن لبضع الأشهر الماضية، سنجد أن أبل قامت في نظام iOS 6 أكبر تغيير يخص الأمان في النظام! وقائمة التحسينات على الحماية كانت كبيرة جدًا، وأبل في نظام iOS 6 قامت بإغلاق ثغرات عديدة كان الهاكرز يستخدموها للوصول إلى الجيلبريك، فكيف استطاع الهاكرز إنجاز جيلبريك Evasi0n يا ترى؟ أو بالأصح، كيف تعمل أداة Evasi0n لتثبيت الجيلبريك؟

في البداية، كان نظام الـ iOS لا يحتاج لأكثر من ثغرة أو اثنتان لإنجاز الجيلبريك، والأمر استمر هكذا إلى أن طورت أبل حماية النظام، مما جبر الهاكرز على استخدام مجموعة كبيرة من الثغرات الضخمة والصغيرة التي تساعدهم للوصول إلى الجيلبريك وتثبيت السيديا.

أداة Evasi0n التي تقوم بالجيلبريك تستخدم في البداية ثغرة في نظام حفظ الباك أب في الأيتونز، وهذا الملف الخفي يسمى بالـ MobileBackup. وتتم الثغرة عبر تشغيل libmobiledevice، وهو برنامج على الويندوز والماك، وهو الذي يقوم بتوصيل أجهزة الـ iOS فقط مع الأيتونز لكي يتم التعارف.

الـ Evasi0n تقوم باسترجاع بعض الملفات التي تحمل الملفات اللازمة للجيلبريك في الجهاز. وبما أن MobileBackup لا تستطيع حفظ الملفات خارج /var/Mobile/Media، أداة Evasi0n تقوم ببعض الأعمال لتجعلها تفعل ذلك، وهذا يتم عبر إنشاء ملف symlink في المكان /var/Mobile/Media باسم .haxx. وهذه الملفات هي تكون مجمعة في داخل التطبيق الذي يطلب منك فتحه مرة واحدة خلال عملية الجيلبريك.

باستخدام خدعة الـ symlink، أداة Evasi0n تستطيع أيضًا الذهاب إلى ملف المتخصص بالتوقيت،  والذي يوضع عليه خدعة الـ symlink مرة أخرى لحعل الجهاز يذهب للـ launchd، وهنا يوجد ملف خفي آخر يعمل مع امتيازات الـ root. الذهاب إلى launchd الآن أصبح به ثغرة، وملف التوقيت جعل قابل للوصول لجميع المستخدمين عبر تغيير أذونات الملف. وهذه خدعة مشابهة نظّمت على الـ socket، وهي التي تقوم بالتحكم بالمواصلات والأوامر التي تتم بين الـ launchd وعمليات أخرى، سامحةً الذهاب إلى mobile user حيث كل التطبيقات في الـ iOS تعمل هناك.

الآن المستخدم يسأل لأن يفتح التطبيق الذي تم نسخه إلى ملفات الـ iOS الداخلية في الخطوات السابقة. هذا التطبيق، يستعمل خدعة launchd لكي يجعل المكان المخصص بالنظام (الغير مرئي) قابل للتغير والتعديل عليه.

الآن بما أن المحتوى الداخلي لنظام iOS أصبح قابل للتعديل، أداة Evasi0n مرة أخرى تقوم بالعبث مع MobileBackup، وتقوم بعد ذلك بكتابة وإضافة مجموعة من الملفات الأخرى، واحد من هذه الملفات هو launchd.conf والذي يعمل مجموعة من الأوامل الحاملة للثغرات. وهذا الملف يعمل في وقت الإقلاع كل مرة يتم بها ذلك، جاعلًا الجيلبريك يتنفس مرة أخرى!

واحد من الأوامر التي يحملها ملف launchd.conf هي مقدرة التهرب وتفادي تسجيل دخول الـ AppleMobileFileIntegrity، حيث أنه يقوم بتغيير أمر التسجيل إلى “true” في كل الأوقات التي يتم بها القيام بالإقلاع.

أداة Evasi0n تحمل العديد من الطرق الأخرى لإكمال الجيلبريك، كالـ ASLR التي تقوم بقوم بعشوائية، تغيير مساحة تخزين الملفات، جاعلةً الجيلبريك شيء صعب التنبؤ. بأي شكل، مازال هناك موقع في مساحة رقاقات الـ ARM سهلة الملاحظة، واستخدام أداة Evasi0n تستطيع استهلاك كامل المساحة الفارغة. وكهذا، تتحول الأداة من أداة تعتمد على ثغرات النظام إلى الدخول بمساحة الكيرنل الداخلية في الجهاز، وهنا يقوم كل شيء بالظهور مما يعطي الجيلبريك الطريق السهل للوصول والتثبيت إلى الجهاز.

نعم، واضح أن الأمر صادم جدًا، فهو قد يبدو معقدًا للبعض، وبسيطًا للبعض الآخر، لكن مهما يكن، التفكير بالطريقة التي يجب الحصول بها على الثغرات، بالإضافة إلى طريقة جعل ذلك حقيقة وتثبيت كل أمر في الجهاز أمر خيالي في الصعوبة، ويحتاج مهارة كبيرة جدًا في الاختراق الأمني، ولهذا، فريق Evad3rs المكون من الهاكرز Pod2G وMuscleNerd وPimskeks وPlanetBeing لهم جزيل الفضل.

بكل تأكيد ستعتقد أن ثغرات الجيلبريك قد فضحت والأمر أصبح جاهزًا لأبل لكي تسد الثغرات، لكن صدقوني، أبل بمجرد ما أطلق الجيلبريك وهي على علم تام بكل الثغرات التي اكتشفت حديثًا، بالإضافة إلى علمها بثغرات أخرى، لكن بالفعل نرجوا أن تحل المشكلة بين أبل والهاكرز، ويتم الإتفاق على أمر يسعد كلا الطرفين.

إذن، أخبرنا، ما رأيك بالطريقة التي يعمل بها الجيلبريك؟ أهي سهلة؟ أم تراها من أكثر الطرق المعقدة للوصول إلى شيء؟

[المصدر: iPhoneHacks]