小心iPhone泄露你的艳照哦——iPhone漏洞分析

    艳照门的首发是在香港，随后的王学兵“内地版艳照门”事件明显成色不足，炒作的意味更强一点，泄露的手机信息轰动性有限，当事人也不怎么紧张，不过此次事件比较抓人眼球的就是一张张iPhone的截图了，众所周知iPhone是不在内地发售的，另外iPhone所与ATM的捆绑，也意味着iPhone的Phone功能是无法在内地使用，那么“内地版艳照门”中的短息截图又是怎么回事呢，说到这里大名鼎鼎的Jail-Break就呼之欲出了，上一张图片。

  http://1822.img.pp.sohu.com.cn/images/blog/2008/10/21/16/29/11dc621fbb9g213.jpg

（1-1）

    首先介绍一下背景，iPhone是Apple公司开发的手机，此款手机除了界面很酷以外，还是第一款同固定移动运营商AT&T捆绑的手机，并且Apple从用户的移动费用中抽成，嘿嘿，酷吧，想想还用其它人能做到这点么，买你一个手机，收一次钱，以后你每打一次电话，

    移动运营商都要分一分钱给他，真是什么好处都占尽了，除此之外iPhone用户只能访问iPhone手机中的有限目录，系统目录，应用程序目录，统统不能访问，在这种情况下，全世界中有HACK精神的筒子们不干了，经过通力合作，不眠不休….,此处略去500字，然后iPhone Unlock出现了，文件系统Jail-Break出现了，iPhone用户从此欢欣鼓舞，终于可以在国内打电话了，终于可以自由安装iPhone软件了，Jail-Break真好，于此同时（配上美国大片的背景音乐）潘多拉的盒子也在徐徐打开，我们也可以开始我们的安全分析了。

    Ok,说了好多废话，不过还得说几句，先说JAIL_BREAK版的安全漏洞，并不是说正式版的iPhone就没有问题，说完Jail-Break的接着就会批评正式版的，什么浏览器内存溢出，web跨域访问啊一样存在，只是Jail-Break在国内更流行，而且攻击起来也更简单，所以问题也越多了。

    Jail-Break 版iPhone的安全漏洞来源较多，我们按照iPhone破解步骤来分析他的安全问题。

    第一关，Jail-Break时可能引入的安全问题，iPhone破解有两种方式，一种是使用已经破解过的FIRWARE直接刷到机器上，另外一种则是使用破解组织公布的破解软件+iPhone正式固件来依照步骤破解，这两种方式都需要下载第三方软件或文件，假若一个Hacker要作一个iPhone恶意软件或间谍软件，他有两种方式，一种是在自己破解过的iPhone机器里安装上自己的恶意软件或间谍软件，然后把自己的破解固件发布到网上，那么使用这个固件版本的用户就不知不觉的在安装系统的时候就中了毒，也许某一天在网上看论坛的时候突然发现，这张照片怎么这么象我么……,嗯我就不妄加揣测了，上面哪种方法，有个缺点一个是上传的文件太大，另一个是一不小心，本来想偷别人信息的，结果把自己的隐私泄露了就不划算了，接下来说另外一种，这种就是Patch 破解工具了，HACKER可以通过修改破解工具文件的方法加入自己的代码，如在破解结束后，调用破解工具中读写iPhone的API,或直接load itue 动态库，对目标iPhone进行读写，写入自己的恶意软件，同第一种实现的效果一样，算是更高级一点。

    第二关，破解后安装软件时可能引入的漏洞，这一个比较简单，就是木马程序了，恶意程序伪装成比较吸引用户的程序，或者附加在普通程序的的安装包里混入系统，正式版程序相对破解版版程序有区别的是，在正式版的可安装软件都必须有一个签名，而破解版，1.1.4

    以前的Jail-Break版本是不需要签名的，而1.2.0之后版本也提供关闭签名验证的接口，一般用户为了安装更多软件，通常都会通过BSD命令关闭签名，这样正式版的程序被发现是恶意软件后有据可查，可以查到是那个公司做的，相对安全些，而Jail-Break版的这方面问题就比较严重了。

    第三关，Jail-Break后，文件系统完全可读写产生的问题，Jail-Break后一个的一个效果是用户可以通过USB接口向iPhone中任意目录Copy文件，所谓Jail-Break(越狱)，指的就是跳过iPhone本身对于通过USB访问文件系统的限制，使得所有文件对USB通讯都可见，这一操作一方面使得自由安装软件成为可能，另一方面也使得病毒从PC或Mac向iPhone传播成为可能，例如恶意程序可以先感染PC或Mac，然后以后台程序模式存在，监听iPhone接入事件，在获取iPhone接入通知后，通过调用iTune的通讯模块直接操作iPhone文件系统从而写入恶意程序。

    第四关，Jail-Break iPhone必备程序openssh产生的安全漏洞，上面几个个问题都有些守株待兔的感觉在里面，感染是无目的，不能主动进攻，下面这个则不同，这个安全问题的来源是SSH，SSH是破解版iPhone的必备程序，因为很多时候要通过他安装第三方程序，浏览系统目录，上传文件等等，设置执行权限等，总之大多数破解版iPhone都有它，可以说不使用这种终端程序Jail-Break的功效就要大打折扣.SSH 的登录方法是远程登录，一般使用WIFI方式登入。

    先说一种最简单的漏洞，就是默认密码，iPhone上的root 用户默认密码是al***,很大一部分的iPhone用户都是使用这个破解密码的，当然原因各不相同，部分是不知道该密码的命令，部分是密码改变后openSSH,不能使用（2.0以前的部分版本存在这个问题），那么造成的结果就是你在咖啡馆里上网的时候，你的iPhone就被别人远程登录了，你的通讯方式，个人相片都被别人予取予求，当然还有有很多用户是有安全意识的，root用户密码是改了的，那么这个漏洞就不存在了。

    我们接着说第二个，实际上iPhone除了root用户，还有mobile用户和_mdnsresponder,其中mobile用户的密码也是al***,通常因为用户只使用root用户进行SSH登录,所以mobile用户的密码大都是默认的，

    而mobile用户除了不能写系统文件外，对大多数目录都是有读权限的，HACK使用这个用户窃取iPhone使用者信息可以说是易如反掌，以上的Hack方式门槛都比较低，一般警惕性比较强的用户，对系统中的用户都设置了密码后就可以避免这些问题。

    那么我们介绍第三种，暴力破解，openSSH自带的安全防护比较弱，一般密码验证次数是六次，六次不过就不可以再试了，但是这只是针对一次连接，如果一个暴力工具采用多线程的方式，对密码库进行分片，每个连接只测试六次，就可以无限期的试下去，一般强度的密码很快就可以被破解了，然后当然就是窃取信息，这个就不累述述了，如果说用户的安全意识超强，还用一定的服务器管理经验，他可能使用超长密码或干脆使用BlockHosts来加固openSSH,那么上面的漏洞就被防护住了。

    所以有了第四种漏洞了，这种属于最通用的攻击方式，就是针对openSSH缓冲区溢出进行攻击，有一定技术难度，但实施起来却并不困难，iPhone 上的openSSH最新版本是4.7而openSSH的最新版本是5.1，有多少已经被披露出来的漏洞在iPhone上的openSSH还存在就不言自明了。

    上面讲了很多，都是破解版iPhone的漏洞，那么正式版iPhone就是绝对安全的呢，答案是否，在讲述正式版iPhone安全漏洞之前，我们先来看下，iPhone的安全体系是怎么构成的，iPhone有三大安全体系，首先USB接口端的权限限制，通过USB接口普通程序，只能访问Media目录，不能访问其它目录，第二，应用程序执行签名，非签名程序即使被Copy到iPhone系统中也无法运行，实际上是运行后因为没有签名被杀掉了。第三，SandBox概念，应用程序智能读写自己目录及Media等有限目录下文件，无法访问其它程序或系统的文件。三重防护可谓层层设卡，那么正式版iPhone真的是铜墙铁壁无法逾越么，当然不是，所谓道高一尺魔高一丈，正式版iPhone同样有大量安全问题，关于这些安全问题是怎样的，Hacker们又是怎样利用这些漏洞的，且听下回分解……

 ——AJ