tip
Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.
Separacja Uprawnień i Sandbox
W iOS istnieje rozróżnienie w uprawnieniach między aplikacjami dostępnymi dla użytkownika a podstawowymi procesami systemu. Aplikacje działają pod tożsamością użytkownika mobile
, podczas gdy kluczowe procesy systemowe działają jako root
. Ta separacja jest wzmocniona mechanizmem sandbox, który narzuca surowe ograniczenia dotyczące działań, jakie mogą podejmować aplikacje. Na przykład, nawet jeśli aplikacje dzielą tę samą tożsamość użytkownika, nie mają prawa do dostępu ani modyfikacji danych innych aplikacji.
Aplikacje są instalowane w określonym katalogu (private/var/mobile/Applications/{random ID}
) i mają ograniczony dostęp do odczytu niektórych obszarów i funkcji systemowych, takich jak SMS i połączenia telefoniczne. Dostęp do chronionych obszarów wywołuje okno pop-up z prośbą o zgodę użytkownika.
Ochrona Danych
iOS oferuje deweloperom API Ochrony Danych, zbudowane na Secure Enclave Processor (SEP) — dedykowanym koprocesorze do operacji kryptograficznych i zarządzania kluczami. SEP zapewnia integralność ochrony danych za pomocą unikalnego klucza specyficznego dla urządzenia, UID urządzenia, wbudowanego w niego.
Po utworzeniu pliku generowany jest unikalny 256-bitowy klucz szyfrowania AES, który szyfruje zawartość pliku. Ten klucz szyfrowania, wraz z identyfikatorem klasy, jest następnie szyfrowany za pomocą klucza klasy i przechowywany w metadanych pliku. Odszyfrowanie pliku polega na użyciu klucza systemowego do uzyskania dostępu do metadanych, odzyskaniu klucza klasy za pomocą identyfikatora klasy, a następnie odszyfrowaniu unikalnego klucza szyfrowania pliku.
iOS definiuje cztery klasy ochrony dla bezpieczeństwa danych, które określają, kiedy i jak dane mogą być dostępne:
- Pełna Ochrona (NSFileProtectionComplete): Dane są niedostępne, dopóki urządzenie nie zostanie odblokowane za pomocą kodu dostępu użytkownika.
- Chronione, chyba że otwarte (NSFileProtectionCompleteUnlessOpen): Umożliwia dostęp do pliku nawet po zablokowaniu urządzenia, pod warunkiem, że plik był otwarty, gdy urządzenie zostało odblokowane.
- Chronione do pierwszej autoryzacji użytkownika (NSFileProtectionCompleteUntilFirstUserAuthentication): Dane są dostępne po pierwszym odblokowaniu przez użytkownika po uruchomieniu, pozostając dostępnymi nawet jeśli urządzenie zostanie zablokowane ponownie.
- Brak Ochrony (NSFileProtectionNone): Dane są chronione tylko przez UID urządzenia, co ułatwia szybkie zdalne usuwanie danych.
Szyfrowanie wszystkich klas, z wyjątkiem NSFileProtectionNone
, polega na kluczu pochodzącym zarówno z UID urządzenia, jak i kodu dostępu użytkownika, co zapewnia, że odszyfrowanie jest możliwe tylko na urządzeniu z poprawnym kodem dostępu. Od iOS 7 domyślną klasą ochrony jest "Chronione do pierwszej autoryzacji użytkownika".
Deweloperzy mogą używać FileDP, narzędzia do inspekcji klasy ochrony danych plików na iPhonie.
# Example code to use FileDP for checking file protection class
# Note: Ensure your device is jailbroken and has Python installed to use FileDP.
# Installation and usage of FileDP:
git clone https://github.com/abjurato/FileDp-Source
cd FileDp-Source
python filedp.py /path/to/check
Keychain
W iOS, Keychain służy jako bezpieczny szyfrowany kontener do przechowywania wrażliwych informacji, dostępny tylko dla aplikacji, która go przechowuje lub tych, które są wyraźnie autoryzowane. Szyfrowanie to jest wzmacniane przez unikalne hasło generowane przez iOS, które samo w sobie jest szyfrowane za pomocą AES. Proces szyfrowania wykorzystuje funkcję PBKDF2, łącząc kod dostępu użytkownika z solą pochodzącą z UID urządzenia, komponentem, do którego dostęp ma tylko układ scalony secure enclave. W związku z tym, nawet jeśli kod dostępu użytkownika jest znany, zawartość Keychain pozostaje niedostępna na jakimkolwiek urządzeniu innym niż to, na którym pierwotnie została zaszyfrowana.
Zarządzanie i dostęp do danych Keychain są obsługiwane przez demona securityd
, w oparciu o konkretne uprawnienia aplikacji, takie jak Keychain-access-groups
i application-identifier
.
Operacje API Keychain
API Keychain, szczegółowo opisane w dokumentacji usług Keychain Apple, zapewnia niezbędne funkcje do zarządzania bezpiecznym przechowywaniem:
SecItemAdd
: Dodaje nowy element do Keychain.SecItemUpdate
: Aktualizuje istniejący element w Keychain.SecItemCopyMatching
: Pobiera element z Keychain.SecItemDelete
: Usuwa element z Keychain.
Brute-forcing hasła Keychain polega na atakowaniu zaszyfrowanego klucza bezpośrednio lub próbie odgadnięcia kodu dostępu na samym urządzeniu, co jest znacznie utrudnione przez egzekwowanie opóźnienia między nieudanymi próbami przez secure enclave.
Konfigurowanie ochrony danych elementów Keychain
Poziomy ochrony danych dla elementów Keychain są ustawiane za pomocą atrybutu kSecAttrAccessible
podczas tworzenia lub aktualizacji elementu. Poziomy te, zgodnie z określeniami Apple, określają, kiedy i jak elementy Keychain są dostępne:
kSecAttrAccessibleAlways
: Dostępne w każdej chwili, niezależnie od statusu blokady urządzenia.kSecAttrAccessibleAlwaysThisDeviceOnly
: Zawsze dostępne, ale nie włączone w kopie zapasowe.kSecAttrAccessibleAfterFirstUnlock
: Dostępne po pierwszym odblokowaniu po restarcie.kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly
: To samo co powyżej, ale nieprzenoszalne na nowe urządzenia.kSecAttrAccessibleWhenUnlocked
: Dostępne tylko wtedy, gdy urządzenie jest odblokowane.kSecAttrAccessibleWhenUnlockedThisDeviceOnly
: Dostępne po odblokowaniu, nie włączone w kopie zapasowe.kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly
: Wymaga kodu dostępu do urządzenia, nie włączone w kopie zapasowe.
AccessControlFlags
dodatkowo precyzują metody dostępu, umożliwiając uwierzytelnianie biometryczne lub użycie kodu dostępu.
Ostrzeżenie o urządzeniach z jailbreakiem
warning
Na urządzeniach z jailbreakiem, ochrona Keychain jest naruszona, co stanowi poważne ryzyko bezpieczeństwa.
Trwałość danych Keychain
W przeciwieństwie do danych specyficznych dla aplikacji, które są usuwane po odinstalowaniu aplikacji, dane Keychain utrzymują się na urządzeniu. Ta cecha może umożliwić nowym właścicielom urządzenia z drugiej ręki dostęp do danych aplikacji poprzedniego właściciela po prostu przez ponowne zainstalowanie aplikacji. Programiści są zachęcani do proaktywnego usuwania danych Keychain po instalacji aplikacji lub podczas wylogowywania, aby zminimalizować to ryzyko. Oto przykład kodu Swift demonstrujący, jak usunąć dane Keychain po pierwszym uruchomieniu aplikacji:
let userDefaults = UserDefaults.standard
if userDefaults.bool(forKey: "hasRunBefore") == false {
// Remove Keychain items here
// Update the flag indicator
userDefaults.set(true, forKey: "hasRunBefore")
userDefaults.synchronize() // Forces the app to update UserDefaults
}
Możliwości aplikacji
W dziedzinie rozwoju aplikacji, sandboxing odgrywa kluczową rolę w zwiększaniu bezpieczeństwa. Proces ten zapewnia, że każda aplikacja działa w swoim unikalnym katalogu domowym, co zapobiega jej dostępowi do plików systemowych lub danych należących do innych aplikacji. Egzekwowanie tych ograniczeń odbywa się poprzez polityki sandbox, które są częścią Trusted BSD (MAC) Mandatory Access Control Framework.
Programiści mają możliwość skonfigurowania określonych możliwości lub uprawnień dla swoich aplikacji, takich jak Ochrona danych lub Udostępnianie Keychain. Te uprawnienia są stosowane natychmiast po zainstalowaniu aplikacji. Niemniej jednak, aby uzyskać dostęp do niektórych chronionych zasobów, aplikacja musi uzyskać wyraźną zgodę od użytkownika w momencie pierwszej próby. Osiąga się to poprzez użycie ciągów celów lub ciągów opisu użycia, które są prezentowane użytkownikom w powiadomieniu o żądaniu uprawnień.
Dla tych, którzy mają dostęp do kodu źródłowego, weryfikacja uprawnień zawartych w pliku Info.plist
może być dokonana poprzez:
- Otworzenie projektu w Xcode.
- Zlokalizowanie i otwarcie pliku
Info.plist
. - Wyszukiwanie kluczy z prefiksem
"Privacy -"
, z opcją wyświetlenia surowych kluczy/wartości dla jasności.
W przypadku pliku IPA, można postępować według następujących kroków:
- Rozpakowanie pliku IPA.
- Zlokalizowanie pliku
Info.plist
wPayload/<appname>.app/
. - Konwersja pliku do formatu XML, jeśli to konieczne, dla łatwiejszej inspekcji.
Na przykład, ciągi celów w pliku Info.plist
mogą wyglądać tak:
<plist version="1.0">
<dict>
<key>NSLocationWhenInUseUsageDescription</key>
<string>Your location is used to provide turn-by-turn directions to your destination.</string>
Możliwości urządzenia
Plik Info.plist
aplikacji określa możliwości urządzenia, które pomagają App Store filtrować aplikacje pod kątem zgodności z urządzeniem. Są one zdefiniowane pod kluczem UIRequiredDeviceCapabilities
. Na przykład:
<key>UIRequiredDeviceCapabilities</key>
<array>
<string>armv7</string>
</array>
Ten przykład wskazuje, że aplikacja jest zgodna z zestawem instrukcji armv7. Programiści mogą również określić możliwości, takie jak nfc, aby zapewnić, że ich aplikacja jest dostępna tylko dla urządzeń obsługujących NFC.
Uprawnienia
Uprawnienia są kolejnym kluczowym aspektem rozwoju aplikacji iOS, służąc jako pary klucz-wartość, które przyznają aplikacjom pozwolenie na wykonywanie określonych operacji poza kontrolami czasu wykonywania. Na przykład, włączenie Ochrony Danych w aplikacji polega na dodaniu konkretnego uprawnienia w projekcie Xcode, co jest następnie odzwierciedlane w pliku uprawnień aplikacji lub w osadzonym pliku mobilnej provision dla IPA.
Odniesienia
- https://mas.owasp.org/MASTG/iOS/0x06d-Testing-Data-Storage
- https://github.com/OWASP/owasp-mastg/blob/master/Document/0x06h-Testing-Platform-Interaction.md
- https://mas.owasp.org/MASTG/tests/ios/MASVS-PLATFORM/MASTG-TEST-0069/
- https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/
tip
Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.