iOS内核漏洞挖掘.PDFVIP

iOS内核漏洞挖掘 - Fuzz 代码审计 议程 • iOS内核漏洞 • Fuzz系统 • 代码审计 • 漏洞分析 iOS安全体系 • 安全机制 –Code Sign –Sandbox – Read-only Root FS –… • 功能多在内核层实现 –需要patch内核来defeat iOS内核漏洞 • 传统桌面系统内核漏洞 –能在低权限帐户触发 –修改进程标志位 - 提权为System进程 • iOS内核漏洞 –Sandbox内/外触发 – Mobile/Root触发 – Patch内核代码 iOS内核溢出保护 • 溢出保护 – KASLR – Kernel pointer obfuscation –Stack / Heap cookie – Kernel space isolation – Kernel code page is R-X – Kernel heap is not executable –… 议程 • iOS内核漏洞 • Fuzz系统 • 代码审计 • 漏洞分析 Fuzz系统 • Why Fuzz –容易实现 –覆盖面广 –Apple的代码质量不高 –低投入高产出 Fuzz系统 • Why NOT Fuzz –分析困难（无法调试） – Panic多/ Exploitable少 –欠缺精度 Fuzz系统 • Where to Fuzz –ioctl –sysctl –IOKit – File system – Network –… Best Target • IOKit –扩展设备大多基于IOKit –调用接口简单 - IOConnectCallMethod –IOKit Extensions大多闭源 –部分设备可在sandbox内打开 IOKit Fuzz • 被动Fuzz –更容易实现 –测试面狭窄 –需要人工干预 – PoC精简相对麻烦 • 主动Fuzz –需要不少准备工作 –测试覆盖面更广 – 自动化 – PoC往往更简洁 被动IOKit Fuzz • 核心思想– hook –Cydia Substrate • 需要依赖Cydia Substrate环境 • 可以一次注入所有进程 – Dyld interpose feature • 实现简单 • 需要自己实现注入– DYLD_INSERT_LIBRARIES 被动IOKit Fuzz • Hook IOConnectCallMethod kern_return_t IOConnectCallMethod( mach_port_t connecti