search

MASTG-KNOW-0084

脱獄検出メカニズムがリバースエンジニアリング防御に追加されると、脱獄済みデバイス上でのアプリ実行がより困難になります。これによりリバースエンジニアが使用したいツールや技法の一部がブロックされます。他のほとんどの種類の防御の場合と同様に、脱獄検出自体はあまり効果的ではありませんが、アプリのソースコード全体にチェックを分散されることで改竄防止スキーム全体の有効性を向上させることができます。

脱獄検出やルート検出についての詳細は Dana Geist と Marat Nigmatullin による調査研究 "Jailbreak/Root Detection Evasion Study on iOS and Android"arrow-up-right を参照してください。

hashtag
一般的な脱獄検出チェック

ここでは三つの典型的な脱獄検出技法を紹介します。

ファイルベースのチェック:

アプリは以下のような脱獄に関連する典型的なファイルやディレクトリをチェックしてみる可能性があります。

/Applications/Cydia.app
/Applications/FakeCarrier.app
/Applications/Icy.app
/Applications/IntelliScreen.app
/Applications/MxTube.app
/Applications/RockApp.app
/Applications/SBSettings.app
/Applications/WinterBoard.app
/Applications/blackra1n.app
/Library/MobileSubstrate/DynamicLibraries/LiveClock.plist
/Library/MobileSubstrate/DynamicLibraries/Veency.plist
/Library/MobileSubstrate/MobileSubstrate.dylib
/System/Library/LaunchDaemons/com.ikey.bbot.plist
/System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist
/bin/bash
/bin/sh
/etc/apt
/etc/ssh/sshd_config
/private/var/lib/apt
/private/var/lib/cydia
/private/var/mobile/Library/SBSettings/Themes
/private/var/stash
/private/var/tmp/cydia.log
/var/tmp/cydia.log
/usr/bin/sshd
/usr/libexec/sftp-server
/usr/libexec/ssh-keysign
/usr/sbin/sshd
/var/cache/apt
/var/lib/apt
/var/lib/cydia
/usr/sbin/frida-server
/usr/bin/cycript
/usr/local/bin/cycript
/usr/lib/libcycript.dylib
/var/log/syslog

ファイルパーミッションのチェック:

アプリはアプリケーションのサンドボックスの外にある場所に書き込もうとしてみる可能性があります。たとえば、/private ディレクトリにファイルを作成しようとするかもしれません。ファイルが正常に作成された場合、アプリはデバイスが脱獄されていると判断できます。

プロトコルハンドラのチェック:

アプリは cydia:// (Cydia をインストール後にデフォルトで利用可能) などのよく知られたプロトコルハンドラを呼び出してみる可能性があります。

hashtag
自動化された脱獄検出のバイパス

一般的な脱獄検出メカニズムをバイパスする最も迅速な方法は objection です。脱獄バイパスの実装は jailbreak.ts scriptarrow-up-right にあります。

hashtag
手動の脱獄検出のバイパス

自動バイパスが有効でない場合、自ら手を動かしてアプリバイナリをリバースエンジニアリングし、検出の原因となるコード部分を見つけ、静的にパッチを当てるかランタイムフックを適用して無効にする必要があります。

Step 1: リバースエンジニアリング:

バイナリをリバースエンジニアリングして脱獄検出を探す必要がある場合、最も明白な方法は "jail" や "jailbreak" といった既知の文字列を検索することです。耐性対策が施されている場合や開発者がそのような明白な用語を避けている場合には特に、これは常に有効であるとは限らないことに注意してください。

例: DVIA-v2 をダウンロードして unzip し、メインバイナリを radare2 for iOS にロードして解析が完了するまで待ちます。

これで is コマンドを使用してバイナリのシンボルを一覧表示し、文字列 "jail" に対して大文字小文字を区別しない grep (~+) を適用できるようになります。

ご覧のように、シグネチャ -[JailbreakDetectionVC isJailbroken] を持つインスタンスメソッドがあります。

Step 2: 動的フック:

ここで Frida を使用して、いわゆる early instrumentation、つまり起動時に関数の実装を置き換えることで脱獄検出をバイパスできるようになります。

ホストコンピュータ上で frida-trace を使用します。

これによりアプリを起動し、-[JailbreakDetectionVC isJailbroken] への呼び出しをトレースし、一致する要素ごとに JavaScript フックを作成します。 お気に入りのエディタで ./__handlers__/__JailbreakDetectionVC_isJailbroken_.js を開き、 onLeave コールバック関数を編集します。 retval.replace() を使用して返り値を置き換えるだけで常に 0 を返すようにできます。

これにより以下の結果が得られます。

PreviousMASVS-RESILIENCE: リバースエンジニアリングと改竄に対する耐性NextMASTG-KNOW-0085

Last updated