21

越狱的 iPhone 使用 MobileSubstrate 污染了 iOS 上的一些基本 API,这让我很恼火。

http://www.iphonedevwiki.net/index.php/MobileSubstrate

我相信许多应用程序都使用 UDID 作为对设备和/或用户进行身份验证的手段,因为它是半自动且方便的,但您应该意识到这个问题:UIDevice 并没有应有的防篡改功能。有一个名为 UDID Faker 的应用程序,它可以让您轻松地在运行时欺骗他人的 UDID。

http://www.iphone-network.net/how-to-fake-udid-on-ios-4/

这是它的源代码:

//
//  UDIDFaker.m
//  UDIDFaker
//

#include "substrate.h"

#define ALog(...) NSLog(@"*** udidfaker: %@", [NSString stringWithFormat:__VA_ARGS__]);
#define kConfigPath @"/var/mobile/Library/Preferences/com.Reilly.UDIDFaker.plist"

@protocol Hook
- (NSString *)orig_uniqueIdentifier;
@end

NSString *fakeUDID = nil;

static NSString *$UIDevice$uniqueIdentifier(UIDevice<Hook> *self, SEL sel) {  

    if(fakeUDID != nil) {
                 ALog(@"fakeUDID %@", fakeUDID);
        /* if it's a set value, make sure it's sane, and return it; else return the default one */
                return ([fakeUDID length] == 40) ? fakeUDID : [self orig_uniqueIdentifier];

    }
    /* ... if it doesn't then return the original UDID */
    else {
        return [self orig_uniqueIdentifier];
    }
}

__attribute__((constructor)) static void udidfakerInitialize() {  

    NSAutoreleasePool *pool = [[NSAutoreleasePool alloc] init];
        NSString *appsBundleIdentifier = [[NSBundle mainBundle] bundleIdentifier];
        ALog(@"Loading UDID Faker into %@", appsBundleIdentifier);


        NSDictionary *config = [NSDictionary dictionaryWithContentsOfFile: kConfigPath];
        fakeUDID = [config objectForKey: appsBundleIdentifier];
        [fakeUDID retain];

        if(fakeUDID != nil) {

                ALog(@"Hooking UDID Faker into %@", appsBundleIdentifier);
                MSHookMessage(objc_getClass("UIDevice"), @selector(uniqueIdentifier), (IMP)&$UIDevice$uniqueIdentifier, "orig_");
        }

    [pool release];
}

如您所见,UIDevice 类中的 uniqueIdentifier 方法现在在任何应用程序上都返回 fakeUDID。

似乎 Skype 和其他一些应用程序检测到这种污点,但我不知道该怎么做。

我想做的是:当启动时检测到污染的 UIDevice 时,警报并退出(0)。

想法?

4

2 回答 2

35

没有一种真正安全的方法来检查 UDID 是否真实。UDID 是通过 liblockdown 获得的,liblockdown 通过安全通道与lockdownd 通信以接收UDID:

+-----------+
| your code |
+-----------+
      |
+----------+       +-------------+       +-----------+
| UIDevice |<----->| liblockdown |<=====>| lockdownd |   (trusted data)
+----------+       +-------------+       +-----------+
         untrusted user                   trusted user

设备越狱后,4个部件都可以更换。

检测 UDID Faker 存在的一种方法是检查是否存在某些对其唯一的标识(文件、函数等)。这是一种非常具体而脆弱的反击,因为当检测方法暴露时,欺骗者可以简单地改变身份来隐藏他们的存在。

例如,UDID Faker 依赖于 plist 文件/var/mobile/Library/Preferences/com.Reilly.UDIDFaker.plist。因此,您可以检查此文件是否存在:

NSString* fakerPrefPath = @"/var/mobile/Library/Preferences/com.Reilly.UDIDFaker.plist";
if ([[NSFileManager defaultManager] fileExistsAtPath:fakerPrefPath])) {
   // UDID faker exists, tell user the uninstall etc.
}

它还定义了-[UIDevice orig_uniqueIdentifier]可以用来绕过faker的方法:

UIDevice* device = [UIDevice currentDevice];
if ([device respondsToSelector:@selector(orig_uniqueIdentifier)])
   return [device orig_uniqueIdentifier];
else
   return device.uniqueIdentifier;

当然,欺骗者可以简单地重命名这些东西。

更可靠的方法在于 Mobile Substrate 的工作原理。注入的代码必须位于 dylib/bundle 中,该 dylib/bundle 加载到不同于UIKit 的内存区域中。因此,您只需要检查-uniqueIdentifier方法的函数指针是否在可接受的范围内。

// get range of code defined in UIKit 
uint32_t count = _dyld_image_count();
void* uikit_loc = 0;
for (uint32_t i = 0; i < count; ++ i) {
   if (!strcmp(_dyld_get_image_name(i), "/System/Library/Frameworks/UIKit.framework/UIKit")) {
     uikit_loc = _dyld_get_image_header(i);
     break;
   }
}

....

IMP funcptr = [UIDevice instanceMethodForSelector:@selector(uniqueIdentifier)];
if (funcptr < uikit_loc) {
   // tainted function
}

无论如何,UDID Faker 是一个非常高级的黑客(即它可以很容易地避免)。它通过提供虚假 ID 来劫持 UIDevice 和 liblockdown 之间的链接。

+-----------+
| your code |
+-----------+
      |
+----------+       +-------------+       +-----------+
| UIDevice |<--.   | liblockdown |<=====>| lockdownd |   (trusted data)
+----------+   |   +-------------+       +-----------+
               |   +------------+
               ‘-->| UDID Faker |
                   +------------+

因此,您可以将询问 UDID 的代码移至 liblockdown 级别。这可用于越狱平台的应用程序,但不适用于 AppStore 应用程序,因为 liblockdown 是私有 API。此外,欺骗者可以劫持 liblockdown(这很容易,我希望没有人这样做),甚至可以自行替换 lockdownd。

                   +-----------+
                   | your code |
                   +-----------+
                         |
+----------+       +-------------+       +-----------+
| UIDevice |<--.   | liblockdown |<=====>| lockdownd |   (trusted data)
+----------+   |   +-------------+       +-----------+
               |   +------------+
               ‘-->| UDID Faker |
                   +------------+

(我不打算在这里展示如何使用 liblockdown。您应该能够从您链接到的站点中找到足够的信息。)

于 2010-11-13T20:40:46.990 回答
-3

关键是检测到一个 JB 设备并且没有在它上面运行。

于 2012-09-05T10:24:14.220 回答