iOS Grundlegende Testoperationen

Reading time: 9 minutes

Zusammenfassung der Identifizierung und des Zugriffs auf iOS-Geräte

Identifizierung der UDID eines iOS-Geräts

Um ein iOS-Gerät eindeutig zu identifizieren, wird eine 40-stellige Sequenz verwendet, die als UDID bekannt ist. Auf macOS Catalina oder neuer kann dies in der Finder-App gefunden werden, da iTunes nicht mehr vorhanden ist. Das Gerät, einmal über USB verbunden und im Finder ausgewählt, zeigt seine UDID zusammen mit anderen Informationen an, wenn die Details unter seinem Namen durchgeklickt werden.

Für Versionen von macOS vor Catalina erleichtert iTunes die Entdeckung der UDID. Detaillierte Anweisungen finden Sie hier.

Befehlszeilenwerkzeuge bieten alternative Methoden zum Abrufen der UDID:

• Verwendung des I/O Registry Explorer-Tools ioreg:

$ ioreg -p IOUSB -l | grep "USB Serial"

• Verwendung von ideviceinstaller für macOS (und Linux):

$ brew install ideviceinstaller
$ idevice_id -l

• Verwendung von system_profiler:

$ system_profiler SPUSBDataType | sed -n -e '/iPad/,/Serial/p;/iPhone/,/Serial/p;/iPod/,/Serial/p' | grep "Serial Number:"

• Verwendung von instruments, um Geräte aufzulisten:

$ instruments -s devices

Zugriff auf die Geräteshell

SSH-Zugriff wird durch die Installation des OpenSSH-Pakets nach dem Jailbreak aktiviert, was Verbindungen über ssh root@<device_ip_address> ermöglicht. Es ist entscheidend, die Standardpasswörter (alpine) für die Benutzer root und mobile zu ändern, um das Gerät abzusichern.

SSH über USB wird notwendig, wenn kein Wi-Fi verfügbar ist, wobei iproxy verwendet wird, um die Geräteports für SSH-Verbindungen zuzuordnen. Diese Einrichtung ermöglicht den SSH-Zugriff über USB, indem Folgendes ausgeführt wird:

$ iproxy 2222 22
$ ssh -p 2222 root@localhost

On-device shell applications, wie NewTerm 2, ermöglichen eine direkte Interaktion mit dem Gerät, was besonders nützlich für die Fehlersuche ist. Reverse SSH shells können ebenfalls für den Remote-Zugriff vom Host-Computer eingerichtet werden.

Zurücksetzen vergessener Passwörter

Um ein vergessenes Passwort auf das Standardpasswort (alpine) zurückzusetzen, ist es notwendig, die Datei /private/etc/master.passwd zu bearbeiten. Dies beinhaltet das Ersetzen des vorhandenen Hashs durch den Hash für alpine neben den Einträgen für die Benutzer root und mobile.

Datenübertragungstechniken

Übertragen von App-Daten-Dateien

Archivierung und Abruf über SSH und SCP: Es ist einfach, das Data-Verzeichnis der Anwendung mit tar zu archivieren und dann mit scp zu übertragen. Der folgende Befehl archiviert das Data-Verzeichnis in eine .tgz-Datei, die dann vom Gerät abgerufen wird:

tar czvf /tmp/data.tgz /private/var/mobile/Containers/Data/Application/8C8E7EB0-BC9B-435B-8EF8-8F5560EB0693
exit
scp -P 2222 root@localhost:/tmp/data.tgz .

Graphische Benutzeroberflächen-Tools

Verwendung von iFunbox und iExplorer: Diese GUI-Tools sind nützlich für die Verwaltung von Dateien auf iOS-Geräten. Allerdings hat Apple ab iOS 8.4 den Zugriff dieser Tools auf den Anwendungs-Sandbox eingeschränkt, es sei denn, das Gerät ist jailbroken.

Verwendung von Objection zur Dateiverwaltung

Interaktive Shell mit Objection: Das Starten von objection ermöglicht den Zugriff auf das Bundle-Verzeichnis einer App. Von hier aus können Sie zum Dokumentenverzeichnis der App navigieren und Dateien verwalten, einschließlich des Herunterladens und Hochladens von und zu dem iOS-Gerät.

objection --gadget com.apple.mobilesafari explorer
cd /var/mobile/Containers/Data/Application/72C7AAFB-1D75-4FBA-9D83-D8B4A2D44133/Documents
file download <filename>

Erhalten und Extrahieren von Apps

Erwerb der IPA-Datei

Over-The-Air (OTA) Verteilungslink: Apps, die zur Testzwecken über OTA verteilt werden, können mit dem ITMS-Dienst-Asset-Downloader-Tool heruntergeladen werden, das über npm installiert wird und verwendet wird, um die IPA-Datei lokal zu speichern.

npm install -g itms-services
itms-services -u "itms-services://?action=download-manifest&url=https://s3-ap-southeast-1.amazonaws.com/test-uat/manifest.plist" -o - > out.ipa

Extrahieren der App-Binärdatei

1. Von einer IPA: Entpacken Sie die IPA, um auf die entschlüsselte App-Binärdatei zuzugreifen.
2. Von einem Jailbroken-Gerät: Installieren Sie die App und extrahieren Sie die entschlüsselte Binärdatei aus dem Speicher.

Entschlüsselungsprozess

Überblick über die manuelle Entschlüsselung: iOS-App-Binärdateien sind von Apple mit FairPlay verschlüsselt. Um eine Reverse-Engineering durchzuführen, muss man die entschlüsselte Binärdatei aus dem Speicher dumpen. Der Entschlüsselungsprozess umfasst das Überprüfen des PIE-Flags, das Anpassen der Speicherflags, das Identifizieren des verschlüsselten Abschnitts und dann das Dumpen und Ersetzen dieses Abschnitts durch seine entschlüsselte Form.

Überprüfen und Ändern des PIE-Flags:

otool -Vh Original_App
python change_macho_flags.py --no-pie Original_App
otool -Vh Hello_World

Identifizieren des verschlüsselten Abschnitts und Dumpen des Speichers:

Bestimmen Sie die Start- und Endadressen des verschlüsselten Abschnitts mit otool und dumpen Sie den Speicher vom jailbroken Gerät mit gdb.

otool -l Original_App | grep -A 4 LC_ENCRYPTION_INFO
dump memory dump.bin 0x8000 0x10a4000

Überschreiben des verschlüsselten Abschnitts:

Ersetzen Sie den verschlüsselten Abschnitt im ursprünglichen App-Binary durch den entschlüsselten Dump.

dd bs=1 seek=<starting_address> conv=notrunc if=dump.bin of=Original_App

Finalisierung der Entschlüsselung: Ändern Sie die Metadaten der Binärdatei, um das Fehlen von Verschlüsselung anzuzeigen, indem Sie Tools wie MachOView verwenden und den cryptid auf 0 setzen.

Entschlüsselung (Automatisch)

frida-ios-dump

Das frida-ios-dump Tool wird verwendet, um Apps automatisch zu entschlüsseln und zu extrahieren von iOS-Geräten. Zunächst muss dump.py konfiguriert werden, um eine Verbindung zum iOS-Gerät herzustellen, was über localhost an Port 2222 über iproxy oder direkt über die IP-Adresse und den Port des Geräts erfolgen kann.

Anwendungen, die auf dem Gerät installiert sind, können mit dem Befehl aufgelistet werden:

$ python dump.py -l

Um eine bestimmte App, wie Telegram, zu dumpen, wird der folgende Befehl verwendet:

$ python3 dump.py -u "root" -p "<PASSWORD>" ph.telegra.Telegraph

Dieser Befehl initiiert den App-Dump, was zur Erstellung einer Telegram.ipa-Datei im aktuellen Verzeichnis führt. Dieser Prozess ist für jailbroken Geräte geeignet, da nicht signierte oder gefälscht signierte Apps mit Tools wie ios-deploy neu installiert werden können.

flexdecrypt

Das flexdecrypt Tool, zusammen mit seinem Wrapper flexdump, ermöglicht das Extrahieren von IPA-Dateien aus installierten Anwendungen. Die Installationsbefehle für flexdecrypt auf dem Gerät umfassen das Herunterladen und Installieren des .deb-Pakets. flexdump kann verwendet werden, um Apps aufzulisten und zu dumpen, wie in den folgenden Befehlen gezeigt:

apt install zip unzip
wget https://gist.githubusercontent.com/defparam/71d67ee738341559c35c684d659d40ac/raw/30c7612262f1faf7871ba8e32fbe29c0f3ef9e27/flexdump -P /usr/local/bin; chmod +x /usr/local/bin/flexdump
flexdump list
flexdump dump Twitter.app

bagbak

bagbak, ein weiteres auf Frida basierendes Tool, erfordert ein jailbroken Gerät für die App-Dekryptierung:

bagbak --raw Chrome

r2flutch

r2flutch, das sowohl radare als auch frida nutzt, dient der App-Dekodierung und dem Dumping. Weitere Informationen finden Sie auf seiner GitHub-Seite.

Apps installieren

Sideloading bezieht sich auf die Installation von Anwendungen außerhalb des offiziellen App Stores. Dieser Prozess wird vom installd daemon verwaltet und erfordert, dass Apps mit einem von Apple ausgestellten Zertifikat signiert sind. Jailbroken Geräte können dies durch AppSync umgehen, was die Installation von gefälscht signierten IPA-Paketen ermöglicht.

Sideloading-Tools

• Cydia Impactor: Ein Tool zum Signieren und Installieren von IPA-Dateien auf iOS und APK-Dateien auf Android. Anleitungen und Fehlersuche finden Sie auf yalujailbreak.net.

• libimobiledevice: Eine Bibliothek für Linux und macOS zur Kommunikation mit iOS-Geräten. Installationsbefehle und Anwendungsbeispiele für ideviceinstaller werden bereitgestellt, um Apps über USB zu installieren.

• ipainstaller: Dieses Befehlszeilentool ermöglicht die direkte Installation von Apps auf iOS-Geräten.

• ios-deploy: Für macOS-Benutzer installiert ios-deploy iOS-Apps über die Befehlszeile. Das Entpacken der IPA und die Verwendung des -m-Flags für den direkten App-Start sind Teil des Prozesses.

• Xcode: Verwenden Sie Xcode, um Apps zu installieren, indem Sie zu Window/Devices and Simulators navigieren und die App zu Installed Apps hinzufügen.

Anwendung Installation auf Nicht-iPad-Geräten erlauben

Um iPad-spezifische Anwendungen auf iPhone- oder iPod touch-Geräten zu installieren, muss der UIDeviceFamily-Wert in der Info.plist-Datei auf 1 geändert werden. Diese Modifikation erfordert jedoch eine erneute Signierung der IPA-Datei aufgrund von Signaturvalidierungsprüfungen.

Hinweis: Diese Methode könnte fehlschlagen, wenn die Anwendung Fähigkeiten verlangt, die exklusiv für neuere iPad-Modelle sind, während ein älteres iPhone oder iPod touch verwendet wird.

Referenzen

• https://mas.owasp.org/MASTG/iOS/0x06b-iOS-Security-Testing/
• https://mas.owasp.org/MASTG/techniques/ios/MASTG-TECH-0052/
• https://mas.owasp.org/MASTG/techniques/ios/MASTG-TECH-0053/
• https://mas.owasp.org/MASTG/techniques/ios/MASTG-TECH-0054/
• https://mas.owasp.org/MASTG/techniques/ios/MASTG-TECH-0056/