iOS 测试环境

Reading time: 11 minutes

Apple 开发者计划

一个 provisioning identity 是与 Apple 开发者账户关联的一组公钥和私钥。为了 签名应用，你需要支付 99$/年 注册 Apple 开发者计划 以获取你的 provisioning identity。没有这个，你将无法在物理设备上从源代码运行应用程序。另一个选择是使用 越狱设备。

从 Xcode 7.2 开始，Apple 提供了创建 免费 iOS 开发 provisioning profile 的选项，允许你在真实的 iPhone 上编写和测试你的应用。前往 Xcode --> Preferences --> Accounts --> + (添加新的 Appli ID 及你的凭据) --> 点击创建的 Apple ID --> Manage Certificates --> + (Apple Development) --> Done
__然后，为了在你的 iPhone 上运行应用，你首先需要 指示 iPhone 信任计算机。 然后，你可以尝试 从 Xcode 在移动设备上运行应用， 但会出现错误。因此，前往 Settings --> General --> Profiles and Device Management --> 选择不受信任的配置文件并点击 "Trust"。

请注意，由相同签名证书签名的应用可以以安全的方式共享资源，例如钥匙串项目。

配置文件存储在手机内的 /Library/MobileDevice/ProvisioningProfiles

模拟器

模拟器

你需要知道的第一件事是，在模拟器内进行渗透测试的限制远大于在越狱设备上进行的限制。

构建和支持 iOS 应用所需的所有工具 仅在 Mac OS 上正式支持。
Apple 用于创建/调试/插桩 iOS 应用的事实标准工具是 Xcode。它可以用于下载其他组件，例如 模拟器 和不同的 SDK 版本，以构建和 测试 你的应用。
强烈建议从 官方应用商店 下载 Xcode。其他版本可能携带恶意软件。

模拟器文件可以在 /Users/<username>/Library/Developer/CoreSimulator/Devices 中找到。

要打开模拟器，运行 Xcode，然后在 Xcode 标签 中按 --> Open Developer tools --> Simulator
__在下图中点击 "iPod touch [...]" 你可以选择其他设备进行测试：

模拟器中的应用

在 /Users/<username>/Library/Developer/CoreSimulator/Devices 中，你可以找到所有 已安装的模拟器。如果你想访问在其中一个仿真器内创建的应用的文件，可能很难知道 应用安装在哪个仿真器中。快速找到 正确的 UID 的方法是，在模拟器中执行应用并执行：

xcrun simctl list | grep Booted
iPhone 8 (BF5DA4F8-6BBE-4EA0-BA16-7E3AFD16C06C) (Booted)

一旦你知道了 UID，安装在其中的应用可以在 /Users/<username>/Library/Developer/CoreSimulator/Devices/{UID}/data/Containers/Data/Application 中找到。

然而，令人惊讶的是，你在这里找不到应用。你需要访问 /Users/<username>/Library/Developer/Xcode/DerivedData/{Application}/Build/Products/Debug-iphonesimulator/。

在这个文件夹中，你可以找到应用的包。

模拟器

Corellium 是唯一公开可用的 iOS 模拟器。它是一个企业级 SaaS 解决方案，采用按用户许可模式，不提供任何试用许可。

无需越狱

查看这篇博客文章，了解如何在非越狱设备上进行 iOS 应用的渗透测试：

iOS Pentesting withuot Jailbreak

越狱

苹果严格要求在 iPhone 上运行的代码必须是由苹果签发的证书签名的。越狱是主动规避这些限制和操作系统施加的其他安全控制的过程。因此，一旦设备越狱，负责检查应用安装的完整性检查就会被修补，从而绕过。

Android Rooting 与 iOS 越狱

虽然经常被比较，Android 的 root 和 iOS 的越狱 是根本不同的过程。对 Android 设备进行 root 可能涉及安装 su 二进制文件或用已 root 的自定义 ROM 替换系统，如果引导加载程序已解锁，则不一定需要利用漏洞。闪存自定义 ROM 在解锁引导加载程序后替换设备的操作系统，有时需要利用漏洞。

相比之下，由于引导加载程序限制只能启动苹果签名的镜像，iOS 设备无法闪存自定义 ROM。越狱 iOS 旨在绕过苹果的代码签名保护以运行未签名的代码，这一过程因苹果不断的安全增强而变得复杂。

越狱挑战

越狱 iOS 变得越来越困难，因为苹果迅速修补漏洞。降级 iOS 仅在发布后有限时间内可能，越狱是一个时间敏感的问题。用于安全测试的设备在确保重新越狱的情况下不应更新。

iOS 更新由挑战-响应机制（SHSH blobs）控制，仅允许安装苹果签名的响应。这个机制被称为“签名窗口”，限制了存储和后续使用 OTA 固件包的能力。IPSW Downloads 网站 是检查当前签名窗口的资源。

越狱种类

• 有线越狱需要每次重启时连接计算机。
• 半有线越狱允许在没有计算机的情况下启动到非越狱模式。
• 半无缝越狱需要手动重新越狱而不需要计算机。
• 无缝越狱提供永久越狱解决方案，无需重新应用。

越狱工具和资源

越狱工具因 iOS 版本和设备而异。资源如 Can I Jailbreak?、The iPhone Wiki 和 Reddit Jailbreak 提供最新信息。示例包括：

• Checkra1n 适用于 A7-A11 芯片设备。
• Palera1n 适用于 Checkm8 设备（A8-A11）在 iOS 15.0-16.5 上。
• Unc0ver 适用于 iOS 版本高达 14.8。

修改设备存在风险，越狱应谨慎进行。

越狱的好处和风险

越狱移除操作系统施加的沙盒限制，允许应用访问整个文件系统。这种自由使得安装未批准的应用和访问更多 API 成为可能。然而，对于普通用户来说，由于潜在的安全风险和设备不稳定，越狱不推荐。

越狱后

iOS Basic Testing Operations

越狱检测

一些应用会尝试检测手机是否越狱，在这种情况下应用将无法运行

• 越狱后，iOS 文件和文件夹通常会被安装，可以搜索这些文件以确定设备是否越狱。
• 在越狱设备中，应用可以读写新文件，超出沙盒限制。
• 一些API 调用将表现不同。
• OpenSSH 服务的存在。
• 调用 /bin/sh 将返回 1 而不是 0。

有关如何检测越狱的更多信息 在这里。

你可以尝试使用 objection's ios jailbreak disable 来避免这些检测。

越狱检测绕过

• 你可以尝试使用 objection's ios jailbreak disable 来避免这些检测。
• 你还可以安装工具 Liberty Lite (https://ryleyangus.com/repo/)。一旦添加了 repo，应用应该会出现在“搜索”标签中。

参考

• https://mas.owasp.org/MASTG/iOS/0x06b-iOS-Security-Testing/