11066人阅读
我们去年3,4月份在iOS还是7.0的时候就发现了一个能在非越狱的ios设备上进行钓鱼的攻击方法 (可以盗取Apple id的密码, gmail的密码等)，很早就报给了apple (Follow-up id: )，到现在apple也没有修复。为了紧跟Project Zero的潮流（90天的漏洞披露策略），现在打算公开demo和细节：&
首先我来解读一下这个demo。在非越狱的iPhone 6 (iOS 8.1.3) 上盗取App Store密码：
/v_show/id_XODgyOTMxMTE2.html
在这个demo中，App Store是货真价实的系统app，但是弹出来的登录框不是App Store的，而是另一个在后台运行的app伪造的。我们知道在沙盒策略中，一个app运行在自己的沙盒空间中，理论上说是无法影响其他app的，如果能够产生影响就是一个很严重的问题。除了沙盒逃逸外，要让这个demo成功还需要具备以下几点要求：1、安装钓鱼app到目标设备。2、后台无限运行并开机启动。3、检测目标app（比如App Store）的运行状态。4、得到Apple ID的用户名以便实施钓鱼攻击。5、弹出钓鱼对话框，并将用户输入的密码上传到服务器。
1、 安装钓鱼app到目标设备。
钓鱼app会使用一些特殊的API函数（后面会讲到，因为这些API不属于PrivateFrameworks，所以不确定是否是private API），所以我们需要考虑如果App Store拒绝接受这种app的情况。如果App Store拒绝接受的话，一般有两个方案：1、采用特殊手段绕过检测：最简单的方法是采用混淆和动态加载，这个是360当年最爱用的方法，后来被Apple发现了，所有app被迫下架了1，2年。复杂的方法请参考Usenix Security的paper：Jekyll on iOS: When Benign
Apps Become Evil。这种方法是先上传一个有溢出漏洞的App到App Store，然后采用远程ROP Attack的方法触发漏洞然后调用private API。2、使用企业证书或者开发者证书签名app。这样的话就不通过App Store，而是通过USB等方法直接安装App到手机上。也就是PP助手，同步推使用的手法。想要做到这点很简单，一个国外的开源库libimobiledevice（http://www.libimobiledevice.org/）就可以满足你的需求。
2．后台无线运行并开机启动。
这个有好几种方案，我这里简单介绍两种：1、如果是采用企业证书或者开发者证书传播的话，只需要在UIBackgroundModes的plist里添加：Continuous，unboundedTaskCompletion和VOIP的属性即可。前两个算是private API，如果上传到App Store是不会通过审核的。2、如果想要上传到App Store，就需要伪装成一个VOIP类型的App，这样的话可以做到开机启动。随后可以采用后台播放无声音乐的方法做到后台运行，播放工具可以采用AVAudioPlayer 这个对象，然后声明一个AudioSessionProperty_OverrideCategoryMixWithOthers的属性。因为是MixWithothers，在面板上不会有任何显示，用户并不会发现有音乐在播放，并且其他播放器在放音乐的时候也没有任何影响。
3．检测目标app（比如App Store）的运行状态。这个也有好多方法，简单介绍两个：1、UIDevice Category For Processes （/forrst/posts/UIDevice_Category_For_Processes-h1H）。通过这种方法，可以获取到当前运行的程序。Demo中就是每隔5秒钟检测一次当前运行的程序是否有App Store，如果有，弹出钓鱼对话框。2、获取所有安装的app的信息。使用LSApplicationWorkspace这个对象可以获取到所有已经安装的App的信息。
4．得到Apple ID的用户名以便实施钓鱼攻击。这个细节请参考CVE-。
5．弹出钓鱼对话框，并将用户输入的密码上传到服务器。正常的对话框是采用UIAlertView这个类，但是用这个类产生的对话框只能在自己app的view上显示。但如果采用CoreFoundation 这个framework （非private framework）中的CFUserNotificationCreate()和 CFUserNotificationReceiveResponse()方法的话，一个app就可以跳出沙盒的限制，并且在别的app界面上弹出自己的对话框。比如下图，第一个是真正的对话框，而第二个是我伪造的，为了区分，我故意把K变成了小写。通过CFUserNotificationCreate()这个API，我们可以伪造很多应用的登陆对话框，不光是App
Store，还可以是YouTube，Gmail，天猫等等。因为伪造的对话框和真实对话框没有任何区别，用户中招的几率会变得非常大。这个API本来是为Mac OS X设计的，但是因为iOS和Mac OS X共用了一些基本的底层框架，但是在iOS并没有屏蔽这个API接口，也没有做任何的权限检测，最后导致了沙盒逃逸。
总结：人们往往认为iOS比android的安全，所以在使用苹果手机的时候格外大胆，但事实并非如此。通过几个漏洞的combo，黑客们可以很容易的骗取你的帐号密码。更恐怖的是，本文所展示iOS漏洞也只是冰山一角。在我们ASIACCS 15论文中，我们还介绍了iOS远程控制，监控等漏洞的利用，有兴趣的同学可以继续学习。
参考文章：
1. Min Zheng, Hui Xue, Yulong Zhang, Tao Wei, John C.S. Lui.
&Enpublic Apps: Security Threats Using iOS Enterprise and Developer Certificates&. (Full Paper)&
Proceedings of 10th ACM Symposium on Information, Computer and Communications Security (ASIACCS 2015)
2. Tielei Wang, Kangjie Lu, Long Lu, Simon Chung, and Wenke Lee.
&Jekyll on iOS: When Benign Apps Become Evil&,&Proceedings of&Usenix Security 2013
版权声明：本文为博主原创文章，未经博主允许不得转载。
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：11652次
排名：千里之外
评论：17条苹果iOS8.1.3能完美越狱吗？
内容为广告/垃圾，我要举报！
特聘专家具有协助内容审核的特权
举报后内容将不能在前台展示
错乱举报会导致该权利被剥夺
选择举报原因&
一不小心升级到苹果公司今天发布的最新系统iOS8.1.3了，请问能完美越狱吗？
已有3条答案
你好！& & & 今天凌晨苹果公司发布了iOS8.1.3正式版系统，经过国内大神的检测苹果已经在iOS8.1.3正式版中封堵了太极越狱团队此前在iOS8.1.2系统和盘古越狱在iOS8.1.1过程中使用的多个漏洞。而且在苹果最新支持文件显示，iOS8.1.3正式版系统新增了安全补丁，已对太极越狱团队此前利用的漏洞进行了修复。& & 太极越狱团队目前还没有确认是否会推出iOS8.1.3完美越狱工具，不过太极越狱团队很有可能已经在开始寻找IOS8.1.3的越狱漏洞了，就让我们大家拭目以待吧。建议在IOS8.1.2已经越狱了的用户，暂时不要进行系统更新，因为8.1.3不支持越狱。目前苹果仍开放iOS8.1.2验证，已经升级到最新系统的同学赶快抓紧时间降级iOS8.1.2吧、
选择举报原因&
根据苹果官方公布显示，此次iOS8.1.3同样以修复错误及漏洞为主。因而，iOS8.1.2越狱及以下版本的越狱工具所利用的漏洞毫无意外均已修复。这也意味着，iOS8.1.3暂时是无法进行的，只能等到新的越狱工具出现。　　在iOS8.1.3的安全更新说明中，苹果表示他们已经封堵了4个漏洞，而这些漏洞正式iOS8.1.2越狱所利用的漏洞。另外苹果还封堵了安全研究专家Stefan Esser发现的漏洞。（）&　　目前不知道国内越狱团队是否有开发iOS8.1.3越狱工具的打算，还有他们将需要多少时间来开发这个工具。此前他们曾表示有信心给接下来发布的iOS更新开发越狱。&　　在目前一切尚不明确的情况下，如果你还没有越狱，那么请在苹果关闭iOS8.1.2验证之前进行更新并越狱；如果你已经越狱并想保持这个状态，那么也尽量不要在iOS8.1.3越狱发布之前更新到iOS8.1.3。
选择举报原因&
太极越狱团队目前还没有确认是否会推出iOS8.1.3完美越狱工具，不过国外论坛和Twitter上的消息显示该团队有可能会进行新版系统的越狱工作。据太极官方去年年底发布的公告，太极越狱也已完成对iOS8.2完美越狱的支持。
选择举报原因&
该内容由系统自动生成
参考价：￥4300.00
热门排行：第 2 名
主屏尺寸4.7英寸
电池容量1810mAh
主屏分辨率像素
电池类型不可拆卸式电池
后置摄像头800万像素
CPU频率1.4GHz
前置摄像头120万像素
CPU类型苹果 A8+M8协
网络类型单卡，全网通
名网友点评分数
最新的苹果发布会上，苹果共发布了iPhone6和iPhone6Plus两款手机，4.7英寸iPhone6机身厚度为6.9mm,而5.5英寸iPhone6Plus机身厚度为7.1mm，两者相比上一代7.6mm的...
微信公众账号ZOL问答堂
关注微信，随时随地解答您的疑惑
ZOL问答堂官方微博@ZOL问答堂
微信公众账号
现在苹果园能查序列号吗？
没找到想要的答案？那就登录提问吧此前很多关于日版iPhone破解国内网络都是需要越狱为前提的，今天小编就来为大家整理了一篇不越狱即可破解2/34G网络的方法。让你日版iPhone也可以做到全网通。首先，我们要知道自己的设备是哪个国家什么版本的机器，不能上来盲目就去破解，那样不仅破解不会成功，还可能导致比较严重的后果。所以，你要在做任何破解之前都了解自己的设备什么版本，是移动、联通还是电信的运营商。搞清楚设备之后，我们就可以准备破解的必备工具了。破解的全过程需要在一个稳定的WiFi环境下进行，并且提前准备好超雪ip6c
4G卡贴，移动4G卡(一定要4G的，如果不是提前到营业厅换卡)，iCarrier3.3软件，免越狱的超雪助手。一切准备就绪，就可以开始解锁了。第一步，将超雪ip6c
4G卡贴和移动卡一起放入iPhone内，在弹出菜单时候选择与你对应的网络运营商。提示安装成功后点击OK，退出返回手机桌面，此时iPhone会处于无服务或者无E提示的情况。第二步，取出卡贴，运行超雪助手，然后单独插入sim卡，插卡的同时不断点击2G按钮，直到iPhone自动进入激活模式，这时有可能会出现提示sim卡无效，但无需理会，耐心等待实心信号出现。这时要观察E符号是否出现，如果是4G符号，表示2G网络并没有破解成功，需要再次插卡重新点击2G网络，当出现E符号后，关机。第三步，取出卡托再放入卡贴，然后开机处于激活模式，连接WiFi激活设备到桌面，然后进入蜂窝设置把蜂窝数据和数据漫游功能开启，有可能会出现空心信号E。然后在超雪助手里点击自动，再去开关一下LTE(4G)开关。开关飞行模式测试能否顺利开启4G，如果可以表示解锁完成。注意：如果在日后使用过程中，出现运营商更新，一定要点击以后，如果点击更新的话，则有可能无法破解4G。想了解更多最新的苹果资讯吗？快识别下方二维码吧！　
　文章为作者独立观点，不代表微头条立场
的最新文章
转载自PP助手！这样一来又能减少点击心爱的Home键的次数了，实际上这款插件的功能还不止如此。对Home键疼iPhone6s、iPhone6s Plus原定于在9月25日正式上市，绝大部分地区预购的订单都可以准时送到iPhone除了可以接打电话聊微信、拍照看电影听音乐这些常规功能外，其实还有另外一个很有用的功能，但或许你并转载自PP助手+想让iPhone的电量显示条更个性化吗?PowerColor是一款新上架Cydia的插件，我工作的你没有闲暇时间走走看看，只能在手机上盲目搜索外界消息？只能靠问朋友了解娱乐近况？只能靠自己摸索探究穿着转载自PP助手苹果在iOS7中带来了底部屏幕边缘上划唤出的控制中心特性，里面包括了手电筒、计时器、计算机、相不知道大家还记不记得在星期一的时候，我们曾经写过一篇报道是关于“iPhone6s的运算内存”的。该报道中称国iPhone6s、iPhone6s Plus由于支持了全新的屏幕技术3D Touch，让不少果粉为之震撼!但人生就是一次漂流，也许，没有办法改变时间的流逝和命运的朝向，但在路途中，可以用自己的力量，掌控漂流的速度和停iPhone6s与iPhone6s Plus的3D Touch技术是通过用力按压屏幕来触发不同的功能。或许这? 汽车专业新媒体,为用户提供精准爱车咨询，足不出户30秒通读即可了解整车详情！我们还会为您定期推送全球优质温馨提示：建议在环境下观看！关注微信想对苹果设备更深入的了解吗？请识别下方二维码内容转载于PP助手！！为了配合用户升级到最新iOS9正式版操作系统，苹果于今天凌晨还发布了iTunes12.“智慧是命运的征服者。”---莎士比亚 有一个富翁得了重病，已经无药可救， 而唯一的独生子此刻又远在异乡。当苹果在今天凌晨为国内用户推送了iOS9正式版的升级推送，但是不少网友反映在升级时会出现各种的错误提示。那么今苹果在9月10日召开的发布会上表示iOS9正式版将于9月16日开始向用户推送，现在，正式版的iOS9系统已经记得在去年iPhone6、iPhone6 Plus发布之后，有很多用户有过这样的言论：16GB根本不够用，最这个理由竟让小编无法反驳。虽然我们不是每个人都能使用6S，但是小编觉得我们手机的常规化功能是一样的，通过关注iPhone6s、iPhone6s Plus一上市就让苹果官网“崩溃”并且仅前3天的预售销量就已经超过iPh据《新华社》报道，截止到2013年年底，Apple Inc.在中国的分公司，即苹果电脑贸易(上海)有限公司存苹果在9月9日发布全新iPhone6s以及iPhone6s
Plus，并于北京时间昨天下午3点01分正式开尽管苹果2015秋季发布会已经过去几天了，但是应该仍有不少果粉激动的心情还没有得以平复。但对于这次发布会来说路上总是苦于不知道看什么好？这里有为你奉上的精彩订阅号推荐，每一个都有着最热门的资讯、最新鲜的话题、最棒的干苹果发布会结束后，iOS9正式版将于下周三16号正式向用户推送。因此，到目前为止，最新的系统还是iOS8.4转载自PP助手！有时候太多链接不想立即打开，不如收起来，稍后一次性打开阅读。LinkCollector是一款app111jb关注苹果园越狱助手，即时收取关于iPhone/iPad最新系统完美越狱的各种消息，快速解决越狱时遇到的问题，全心服务。我们还为广大苹果用户提供各种关于苹果软硬件新闻，让你及时掌握最新动态。热门文章最新文章app111jb关注苹果园越狱助手，即时收取关于iPhone/iPad最新系统完美越狱的各种消息，快速解决越狱时遇到的问题，全心服务。我们还为广大苹果用户提供各种关于苹果软硬件新闻，让你及时掌握最新动态。当乐游戏中心5.0版全新发布 iOS越狱进程发表于： 北京时间6月23日下午18:44，中国太极团队(Taigi)在微博正式公布了iOS 8.4越狱工具。这次iOS 8.4版本的越狱工具是太极越狱连续第三次全球首发越狱工具。这个越狱工具的版本号为V2.0.0，支持运行iOS 8.1.3-iOS 8.4系统的全设备。发表于：
今天下午，国内团队“太极越狱”发布了iOS 8.1.1完美越狱工具，这是继iOS 8-iOS 8.1越狱工具之后，又一个国人自主完成的完美越狱工具，而且据说只有一位开发者。目前，太极越狱已正式开放下载，最新版太极工具现已支持iOS8.1.2越狱。发表于：
截至目前，盘古越狱工具已出，Cydia 安装方法也已公布，同时 Cydia Substrate 已更新支持 ios8，那么现在安装插件的基本要求都以满足，那么大家较为关心的支持 iOS8.1 完美越狱的插件又有哪些呢？我们现在就一起来看看。 iOS8越狱最新资讯 北京时间6月23日下午18:44，中国太极团队(Taigi)在微博正式公布了iOS 8.4越狱工具。这次iOS 8.4版本的越狱工具是太极越狱连续第三次全球首发越狱工具。iOS8越狱常见问题iOS8常见错误代码解决方法iOS8苹果设备越狱iOS8固件下载iOS8苹果设备解锁iOS8最新越狱版本iOS8苹果越狱下载这是一款由迪士尼推出的3D卡通动作游戏，它以漫威旗下的多名英雄和反派为主角，让玩家在一个相当混乱的世...83℃作为“弹射类”游戏的始祖，《百战天虫》系列已经有超过二十年历史了。最新推出的《百战天虫 4》延续原作...87℃通过传统的消除玩法结合NHN所设计的战斗风格，游戏非常值得尝试...94℃PS：兼容iPhone 5s+,iPad Air+, iPad mini 2+ <b...93℃《霹雳乒乓》加入的一些创意娱乐元素让比赛过程更加有趣...82℃&&&&枪神降世！现象级全球动作手游——《太极熊猫》全新资料...80℃指尖红尘，肆意江湖，3DARPG《卧虎藏龙》还你一个武侠梦。...88℃体验一下无路可走却又处处暗藏玄机的空间迷宫吧！...94℃手机平台上最逼真、最绚烂、最刺激的狩猎模拟游戏！...89℃本作的剧情将会以电视剧剧本为基础，玩家在游戏中将与弩男 Daryl Dixon 一起对抗满城丧尸。至...98℃ 网站地图 |
Copyright (C)
Downjoy. All Rights Reserved. 当乐公司 版权所有90