iPhone pwned, avagy miért fontos az iPhone (és más telefonok, eszközök) naprakész frissítése?

Titkosítás, biztonság, privát szféra

Ha valaki még nem frissítette iPhone-jának firmware-ét a legújabb 1.1.2-es verzióra, akkor valószínűleg jobb, ha óvatosan böngészi a világhálót. Az 1.1.1-es firmware TIFF sebezhetőségének kihasználását mutatja be a következő úriember egy videóban. Mivel az exploit és a sebezhetőség kihasználásának pontos leírásai (1, 2, 3) közkézen forognak, érdemes egy kicsit jobban odafigyelni. A videón a "fiatalember" egy speciálisan preparált weboldalat mutat be, amelyet a gyanútlan iPhone tulajdonos meglátogatva máris áldozattá válik.

A videó természetesen nem csak az iPhone tulajdonosok számára lehet figyelmeztető, hanem minden olyan számítástechnikai eszköz (egyéb mobiltelefon, PDA, notebook, desktop PC, ...) tulajdonosa számára, aki a világhálót böngészi. A videó felhívja a figyelmet a szoftverek naprakészen tartásának fontosságára. Nem lehet elég sokszor ismételni...

Igazából semmi új nincs benne, gyakorlatilag így működik minden távoli kódfuttatást lehetővé tevő böngészősebezhetőség, legyen az Mozilla, IE, Konqueror, Opera, vagy Safari. A durva az, hogy van olyan _informatikus_ ismerősőm, aki váltig hiszi, hogy ilyen nincs :)

--
trey @ gépház

Gyakran tobbet art mint hasznal, nem kell hangsulyozni a 'hamis biztonsagerzet' szavakat, ugye ... "Nekunk tuzfalunk van", ezzel paran maris vigan nyugodtan csinalnak barmit, amiert maskor legalabb egy picit aggodnanak. Raadasul ugye egy sima packet filter az ilyenek ellen nem jo, de meg az applikacios szintu proxy fw sem csodaszer, az legalabb elemzni a forgalmat is, nemcsak forras/cel port/IP alapjan megy, de ettol meg nem "tudja" esetleg hogy egy adott applikacia az fw mogott crash-el egyett adott esemenyek (a Hold allasa, stb) hatasara ...

( Z0l v | 2007. 11. 17., szo – 20:36 )

Aki egy cseppet ert hozza es buheri a telefont, az szerintem elsokent teszi fel a tiff exploit fixet. Btw ha a ***breakme.com-os modszert hasznalod, az a hack utan befoltozza az exploitot, ami lehetove tette az egesz hacket :)

Illetve a tobbi reszevel kapcsolatban (csak mert mostmar meg is neztem):
1. Alapbol read-only-ra van felmountolva a filerendszer. Oke, h elolvashatod a leveleket meg minden, de telepiteni nem tudsz, csak a /private/var irhato, de az meg noexec :).
2. SSH csak akkor van, ha rateszed, ehhez (surprisingly) read/write filrendszer kell.
3. Nincsenek rajta parancsok sem, csak ha ratelepited a BSD subsystemet, amihez (surprisingly #2) read/write filerendszer kell.

Szoval rettegni lehet meg hypeolni, de azon kivul, h kiakad a Safari, eleg sok munka kell a sikeres exploithoz.

Ugyanez a sebezhetoseg kepes modositani az fstabot h r/w legyen a filerendszer, de ahhoz meg ujra kell inditani a telefont meg nem eleg hozza a generic exploit hanem modositani kell. Na ennyit errol :)

Remélem, hogy mint "IT Security Analyst" az ügyfeleidnek nem mondod azt, hogy "Na ennyit errol :)", ha:

- valaki egy hibát kihasználva hozzáférhet távolról a rendszeréhez
- képes azon elolvasni a tárolt adatokat
- képes reboot-olni a rendszert
- potenciális exploit-tal rendelkezik a rendszere r/w mount-olásához

vagy ezekre legalább egy szemernyi esélye is lehet, hiszen ezek - kezdve az elsővel - már önmagukban is komoly biztonsági problémák. Helyette remélem, hogy inkább azt javaslod, hogy frissítsenek :)

--
trey @ gépház

Ez termeszetes :) Gondolom nem arulok el nagy titkot, ha azt mondom, h nem sok ceg hasznal iPhone-t. Sot, igazabol a Blackberry + Windows Mobile Smartphone rendszereken kivul nincs is olyan mobil os, ami megfeleloen szemelyre szabhato (ertsd ezt biztonsagi szempontbol, egyszeruen hianyoznak a tobbibol a megfelelo kontrollok).

"a tores pedig alapbol rakta a patchet, nem vagom mi a problema?"

Mindegyik? Kizárt.

"Esetleg rendesen aktivalt at&t teloknal lehet problema"

Lehetett. Mennyiről is volt szó? Az iPhone-ok 99%-ról? És mennyi ideig volt lyukas a stuff? Október 1-én már úgy jött ki az 1.1.1-es firmware, hogy sebezhető libtiff volt benne. Az 1.1.2 november elején jelent meg. Cirka egy hónap patch-elés nélkül, miközben remote exploit volt szabadon.

"de tul sok mindent nem tudnak csinalni vele, mivel ahova irni lehetne az noexec..."

Kérdezd Paris Hilton-t (végülis ha elolvassák az összes adatod, az nem probléma) :))

--
trey @ gépház

> Mindegyik?

Nem. Ami kihasznalta az igen, a tobbinel meg ott van opcioban, es a howtok is irjak hogy azt azert ajanlott felrakni...

> Kizárt.

Ezt mire alapozod?

> Kérdezd Paris Hilton-t (végülis ha elolvassák az összes adatod, az nem probléma) :))

Nekem nem az, en nem tarolok rajta semmi titkosat.
Persze attol meg lehet hogy van olyan hulye, aki a telefonra bizza a titkait...

A'rpi

Akadalyt mindenkeppen jelent, legfeljebb nem lekuzdhetetlen.
Vegulis a flash device irhato rootkent, es az iphonon minden rootkent fut, tehat block siznten bel etud nyulni az fs-be,
de ehhez azert irnia kene egy r/w hfs+ drivert ami nem 1xu.
Az fstab hack mukodik ugy, hogy elore letaroljak melyik fw-ben melyik sectorban van es azt irjak felul csak, aztan reboot...
Mondjuk lehet rebootolni is, de azt azert eszreveszi az user is.
(iphonenal nem jellemzo hogy magatol ujraindulna)

A'rpi

Nem nagyon foglalkoztam még iphonenal, de ha mmap() vagy mprotect() nem ellenőrzi a noexec mountot megfelelően (BSD-knél egyedül a NetBSD, Linux esetén rendesen csak PaX/grsec patchelt kernel teszi meg), akkor egy elég egyszerű shellcode megteszi, amely nem csinál mást, mint kiírja a /private/var alá egy fileba a futtatni kívánt kódot, utána be mmap()-eli a memóriába PROT_EXEC flaggel és végrehajtja... de nyilván akár közvetlenül is támadható a kernel a shellcode-ból, ott meg már nincs jelentősége, hogy ro vagy noexec mount van.

Nyilvan nem az a problema, hogy a futo exploit hogy fusson, hiszen mar fut :) hanem hogy hogyan tud maradandot alkotni, azaz pl. telepiteni ra egy rootkit-felet. Mivel ahova irni tud a disken az nem lesz futtathato. Hacsak nem irja at az fstabot es var a kovetkezo rebootig :) vegulis addig meg ugyis fut...

A'rpi

Azért van jelentősége, mert a shellcode exploitonként különböző, viszont amit a shellcode-ból bemmapelhet és végrehajthat az már lehet valamiféle univerzális rootkit, amelyet több különböző sebezhetőség esetén is ugyanúgy felhasználhat. Nyilván nem csak ez a TIFF sebezhetőség létezik és most hogy már javítva lett, érdemesebb más bugok után nézni. A rootkitet viszont nem kell újraírni, alakítgatni, csak meghívni ugyanígy a következő shellcode-ból is... :)

Egyébként mondtam, hogy nincs jelentősége. A jobbak kapásból kernel-szintű jogosultságot szereznek és nem foglalkoznak a userlanddel. Csak persze ők nem kürtölik világgá a módszereiket... ;P

Ami szerintem erdekesseg, az az, hogy ugyanez a libtiff sebezhetoseg tette lehetove a 2.80-as firmware-u PSP-k downgrade-eleset :) Ez egy 1,5 eves exploit, szoval nagyjabol lehet latni, miota fejleszthetik az iPhone szoftvert es mennyire ugyelnek a biztonsagara :)
De egyebkent Arpi is ugyanazt irta le amit en 12 posttal feljebb, h ennek a dolognak a fustje nagyobb, mint a langja.

"Ez egy 1,5 eves exploit, szoval nagyjabol lehet latni, miota fejleszthetik az iPhone szoftvert es mennyire ugyelnek a biztonsagara :)"

vs.

"De egyebkent Arpi is ugyanazt irta le amit en 12 posttal feljebb, h ennek a dolognak a fustje nagyobb, mint a langja."

Egyik mondatod üti a másikat :)

--
trey @ gépház

Nem akarlak megbántani, de nem tudom milyen IT Security Analyst lehetsz te, ha ilyeneket írsz... iPhone firmware-ből nincs 10 millió verzió és nem tartalmaz a szoftver semmiféle IPS jellegű hardening megoldást sem, így az érintett változatokhoz meglehetősen egyszerű megbízható exploitot készíteni, amelyik gyakorlatilag mindig működik. Utána pedig nincs más dolga a támadónak, csak azt csinálni amelyet mostanában egyébként is divat, hogy a feltört szervereken lévő weboldalakat nem defacelik, hanem csak hozzáírnak egy client-side exploitokat tartalmazó kódot, amelyel mindenféle böngésző és library bugokat használnak ki a gyanútlan látogatók gépén. Innentől kezdve még csak abban sem lehet bízni, hogy az iPhone user nem megy el vadidegen oldalakra, mert lehet, hogy már a kedvenc siteja is tartalmazza az ártalmas kódot (én pl. a helyükben iPhone fan oldalakat céloznék meg :). Arról már nem is beszélve, hogy ha valakit célirányosan akarnak megfogni, akkor ennél sokkal finomabb módszerek is rendelkezésre állnak.

Nem tudom, hogy jelenleg hány millió eladott iPhone példány létezik, de ha megfelelően nagy lesz a számuk, akkor akár eljöhet egy zombiPhone korszak is, mert technikailag már nem sok akadályát látom... és persze itt most nem feltétlenül a TIFF sebezhetőség kihasználására gondolok, mert nyilván ezután már nem arra érdemes alapozni, hisz túlságosan felkapott lett. Bugokkal meg tele van a padlás, itt pedig még csak nagyon keresni sem kell, mert az Apple köztudottan elfelejti követni az átemelt nyílt forrású kódok hibajavításait, így elég ellenőrízni, hogy az iPhone-ban milyen szoftverek vannak és átnézni az eredeti fejlesztésben az Apple-fork után megjelent hibajavításokat. Nem újkeletű dolog ez, már évek óta szó van róla az OSX kapcsán...

Kicsit almos voltam. Egyebkent nemtom miert kell mind a kettotoknek a melomon ugralni, ti mivel foglalkoztok? :) Figyelj, ha ennyire biztos vagy magadban meg a zombiPhone korszak eljoveteleben (kicsit ilyen "armageddonfilingesen"), akkor ird meg azt az exploitot es linkeld be ide, utana folytatjuk az elmelkedest, jo? Mindenki fikazza az Apple-t h "Nem javitjak ki az osregi biztonsagi hibakat, stb, stb" (hidd el en is tudom, h vannak lyukak az OS X-ben, pontosan ezert van ott biztonsagi szempontbol a beka popsija alatt), de az, hogy egy gall postas egy osszevagott videon feltori a mar elore feltort iphone-jat az kb olyan kritikus, mint amikor te kitalalod a sajat rootjelszavad, erted?

Nem írtam, hogy biztos vagyok a korszak eljövetelében, csak azt, hogy technikai akadályát nem látom... Az meg hogy (a gall postás) Rik Farrow a látványos bemutató miatt egy leegyszerűsített támadást hajtott végre a metasploit framework és előtelepített BSD környezet segítségével, még nem jelenti azt, hogy nem lehet írni rá hatékonyabbat, userland nélkül működő, egyszerre több sebezhetőséget is kihasználó exploitot. Nyilván az IT securityvel kevésbé foglalkozó, de *nix shellt ismerő nézők így jobban megértik a mondanivalót, mint ha az iPhone-ban lakozó ARM processzor utasításkészletét és az exploithoz használt heap-spraying módszert kezdi el magyarázni (amelyhez persze könnyen lehet, hogy ő sem ért eléggé, de vannak jópáran akik igen és nem fehér a kalapjuk).

( lgb | 2007. 11. 17., szo – 19:24 )

kzoben postfix konyv befigyel a hatterben, most nezem :)

( arpi_esp v | 2007. 11. 17., szo – 22:15 )

beleneztem a videoba, eloszor azt hittem a mumia IV. trailere :)

A'rpi

ps: vicces az rrecord-os demoja, csak az a bibi vele, hogy csak a dokkolon van wifi kikapcsolt allapotban is, kulonben csak ha bekapcsoljak, igy titkos lehallgatasra nemigazan jo...