iPhone 3GS现新bootroom漏洞

  • A+
所属分类:苹果新闻 越狱工具

iPhone 3GS现新bootroom漏洞

今天越狱社区发布了一个新的 iPhone 3GS bootrom 漏洞,这个已经无法修复的漏洞将能够让越狱用户对设备进行全面控制。

目前在用的 iPhone 3GS 已经很少,所以有些人觉得不值得关注,但 bootrom 漏洞很少见,所以值得我们了解一下。自最多支持 iPhone 4 的 limera1n 发布之后,就再没有类似漏洞公开发布。

推特用户 axi0mX 公开了这一漏洞,称之为 alloc8,它利用了 bootrom 的 malloc 功能中的漏洞。如果你想进一步了解 iOS 漏洞和越狱,你可以进入这个链接,了解这个新漏洞及其工作方式等。

此前在第一批发货的 iPhone 3GS 中,越狱者可以通过 bootrom 存在的漏洞,利用 24kpwn 漏洞进行越狱,用户可升级、降级、完美越狱、安装自定义固件等,因此苹果非常重视这个漏洞。这个漏洞对开发者来说也很有价值。这种漏洞只能通过硬件升级来修复,软件或固件升级都无法修复。最近几年发布的越狱都没有利用这类漏洞,而且自 iPhone 4 之后此类漏洞从未公开出现过。24Kpwn 漏洞的出现让苹果有点不安,很快他们就在新发货的 iPhone 3GS 采用了新的 bootrom,阻止人们利用 24kpwn 漏洞进行越狱

本次发现的新漏洞可在新版和旧版 iPhone 3GS 上使用,因为苹果无法修复或者发布新版本,所以用户这次真的是想怎么玩就怎么玩。虽然对于目前的iPhone用户来说,新发现的漏洞没什么意义,不过开发者等也可以利用它来对苹果早期的 boot 部件进行更多研究。

目前已经有用户利用这个漏洞,在没有 blobs 的情况下给设备降级,安装任意 iOS 版本。如果你有一台 iPhone 3GS 的话,你是否愿意一试。

 

“axi0mX”工具说明书

ipwndfu:旧iOS设备的开源越狱工具

Beta软件

备份您的数据

此工具目前处于测试阶段,可能会将您的设备打乱。在将新数据闪烁到NOR之前,它将尝试将数据副本保存在NOR到nor-backups文件夹中,并且将尝试不覆盖您的设备需要运行的NOR中的关键数据。如果出现问题,希望能在iTunes中恢复到最新的IPSW,让设备恢复生效,或者使用备份来恢复NOR到原始状态,但是我不能提供任何保证。

没有保修

在适用法律允许的范围内,本程序不承担任何担保。对您的程序的质量和性能的全部风险。如果程序有缺点,您应承担所有必要维修,修理或更正的费用。

信用

geohot为limera1n利用

依赖关系

该工具应与Mac和Linux兼容,它主要在优胜美地和Sierra测试。它可能无法在虚拟机中运行。

  • libusb

在Mac上,您可以使用brew安装libusb:

brew install libusb
  • pyusb

在Mac上,您可以使用pip安装pyusb:

pip install pyusb

在Mac上,如果您没有安装点,请按照官方网站的说明进行安装,并使用get-pip.py进行安装:https//pip.pypa.io/en/stable/installing/

  • iPhone 3GS iOS 4.3.5 iBSS

使用https://ipsw.me/上找到的链接下载iPhone 3GS iOS 4.3.5 IPSW,并使用以下命令提取iBSS,然后将文件移动到ipwndfu文件夹:

unzip -p iPhone2,1_4.3.5_8L1_Restore.ipsw Firmware/dfu/iBSS.n88ap.RELEASE.dfu > n88ap-iBSS-4.3.5.img3

需要libusb的补丁才能使Limera1n在El Capitan和Sierra工作

原因:

https://www.belle-aurore.com/mike/2016/06/os-x-el-capitan-and-its-refusal-to-reset-usb-devices/

你应该使用brew安装libusb。1.0.21是最新版本。计算SHA1哈希:

openssl sha1 /usr/local/Cellar/libusb/1.0.21/lib/libusb-1.0.0.dylib

目前支持的哈希(原始 - >打补丁):

libusb 1.0.21 on Sierra
02da61201c8f67b723bca5fb44b35797d1021625 -> f356ee6052cd520b46ca50333b937ff2efe4477b

可用的修补程序在libusb-patches文件夹中。使用bspatch应用与SHA1哈希匹配的补丁:

sudo bspatch /usr/local/Cellar/libusb/1.0.21/lib/libusb-1.0.0.dylib /usr/local/Cellar/libusb/1.0.21/lib/libusb-1.0.0.dylib libusb-02da61201c8f67b723bca5fb44b35797d1021625.patch

特征

  • 越狱iPhone 3GS(新bootrom)与alloc8 untethered bootrom exploit。:-)
  • Pwned DFU模式利用了使用limera1n漏洞的S5L8920器件,并与Yosemite,El Capitan和Sierra兼容。
  • 在S5L8920设备上转储SecureROM。
  • 在S5L8920设备上转储NOR。
  • Flash NOR在S5L8920设备上。
  • 使用其GID或UID密钥在已打开的DFU模式下对连接的设备上的十六进制数据进行加密或解密。

在iPhone 3GS上安装alloc8(新的bootrom)

  • 该工具可用于降级或越狱iPhone 3GS(新bootrom),无SHSH blob:

https://github.com/axi0mX/ipwndfu/blob/master/JAILBREAK-GUIDE.md

alloc8如何工作?

  • 写上去:

https://github.com/axi0mX/alloc8

快来了

  • 重组和重构代码并修复标签/空格的问题。
  • 更轻松的设置:删除要修补libusb的需求,使用部分zip自动下载iBSS。
  • 用于与优胜美地,El Capitan和Sierra兼容的S5L8720 / S5L8922 / S5L8930设备的Pwned DFU模式利用。
  • 在S5L8720 / S5L8922 / S5L8930设备上转储SecureROM。
  • 在使用24Kpwn和alloc8的设备上安装自定义启动徽标。
  • 在使用24Kpwn和alloc8的设备上启用详细启动。
黑雪中文网