L'iPhone OS et le jailbreak « Spirit » | Connect

MISC

n°

septembre 2010

Par

Tag(s)

jailbreak

ROP

USB

vulnérabilités

Faille

L'iPhone remporte un grand succès, en partie grâce à l'AppStore et les nombreuses applications qui y sont proposées aux utilisateurs. Cependant, cette plate-forme est relativement fermée car chaque application doit être approuvée par Apple. Le jailbreak consiste à « déverrouiller » le système d'exploitation du téléphone (iOS) pour y exécuter n'importe quelle application. Alors qu'Apple déploie des mises à jour régulières afin de combler les vulnérabilités utilisées pour le jailbreak, de nouvelles failles sont continuellement découvertes par les différents acteurs de la « scène jailbreak » [WIKI]. Nous présentons ici les mécanismes de sécurité mis en place sur l'iPhone, ainsi que le détail des 3 vulnérabilités exploitées par l'outil de jailbreak Spirit, publié par Comex en mai 2010.

1. Présentation de l'iOS

1.1 Historique

Le système d'exploitation de l'iPhone, iPhone OS (renommé depuis peu par Apple en iOS) en est aujourd'hui à sa 4ème version majeure. Les 4 versions de l'OS correspondent à la sortie des différents modèles d'iPhone depuis 2007 : 2G, 3G, 3GS et l'iPhone 4 (l'iPad utilise également iOS 4). Le noyau, les démons et les différentes bibliothèques de l'iOS sont en grande partie issus de Mac OS X.

Modèles	Processeur d'applications	Date
iPhone, iPhone 3G, iPod Touch	S5L8900	… Cet article est réservé aux abonnés. Il vous reste 97% à découvrir. S'abonner à Connect Accédez à tous les contenus de Connect en illimité Découvrez des listes de lecture et des contenus Premium Consultez les nouveaux articles en avant-première Je m'abonne Déjà abonné ? Connectez-vous Rechercher dans MISC Recherchez par mots-clés parmi 1551 articles ! Votre recherche Exemple : Pentest, Code, Arduino, Denis Bodor Recherche avancée Au sommaire du même numéro Vulnérabilité Samba chain_reply Zeus/Zbot Unpacking : analyse d’un packer customisé Intrusion sur BlackBerry Enterprise Server Introduction au dossier : Téléphones mobiles : que cachent-ils ? Modèle de sécurité d'Android L'iPhone OS et le jailbreak « Spirit » Défi de l'analyse forensique des ordiphones Reverse engineering et forensics sur Android Jeux d'argent en ligne : règlements de comptes à OK Corral Mémoire non exécutable : vers le Return Oriented Programming (ROP) Filtrage des flux web dans l’académie de Nancy-Metz pour la protection des mineurs - Partie 1 Sécurité des infrastructures critiques et systèmes de contrôle Spécialités Algo Code Crypto Cyber Intelligence Data / Big Data Exploit Forensic GNU/Linux Magazine IA Malware MISC Mobilité Pentest Reverse engineering Sécurité du code Sécurité organisationnelle Sécurité réseau Sécurité système Web Article rédigé par Halbronn Cédric Halbronn Cédric 4 articles Sigwald Jean Sigwald Jean 5 articles Par le(s) même(s) auteur(s) Exploitation du navigateur Chrome Android Magazine Marque MISC n° Numéro 78 Mois de parution mars 2015 Auteurs Par Halbronn Cédric Spécialité(s) Sécurité réseau Mobilité Résumé Cet article détaille un chemin d'exploitation possible de Chrome Android à travers des vulnérabilités publiques. Nous détaillons les mitigations présentes et un moyen de les contourner. Ceci nous donnera une idée des difficultés pour exploiter ce navigateur. Ajouter à une liste de lecture Reverse-engineering iOS Magazine Marque MISC HS n° Numéro 7 Mois de parution mai 2013 Auteurs Par Sigwald Jean Cattiaux Cyril Spécialité(s) Reverse engineering Mobilité Résumé La rétro-ingénierie sur terminal mobile est un sport à la mode, car il est devenu une alternative sérieuse à l'ordinateur. Les données personnelles, cibles des logiciels malveillants, sont d'ailleurs souvent encore plus sensibles sur ce support. C'est la raison qui pousse de nombreux chercheurs en sécurité à se pencher sur la question. Néanmoins, la documentation pour démarrer sur iOS est très éparse. L'objectif de cet article est donc de donner à nos compatriotes intéressés les armes nécessaires pour commencer efficacement les recherches. Ajouter à une liste de lecture Quelques techniques de forensics sur les téléphones Android Magazine Marque MISC n° Numéro 63 Mois de parution septembre 2012 Auteurs Par Halbronn Cédric Spécialité(s) Forensic Mobilité Résumé Les techniques de forensics sur téléphone verrouillé reposent sur l’exécution de code avant qu’Android ne démarre, c'est-à-dire au niveau du bootloader (composant logiciel constructeur). Les téléphones Android étant réalisés par de multiples constructeurs, il existe autant de méthodes de forensics. Cet article présente quelques techniques adaptables à une majorité de téléphones. Les travaux ont été réalisés sur les versions d'Android 2.x et concernent encore la majorité des terminaux. Ceci est adaptable par le lecteur sur les dernières versions… Ajouter à une liste de lecture Plus d'article de cet auteur Les derniers articles Premiums Les derniers articles Premium Bun.js : l’alternative à Node.js pour un développement plus rapide Magazine Marque Contenu Premium Auteurs Par Blachowiak Thomas Spécialité(s) Code Web Résumé Dans l’univers du développement backend, Node.js domine depuis plus de dix ans. Mais un nouveau concurrent fait de plus en plus parler de lui, il s’agit de Bun.js. Ce runtime se distingue par ses performances améliorées, sa grande simplicité et une expérience développeur repensée. Peut-il rivaliser avec Node.js et changer les standards du développement JavaScript ? Ajouter à une liste de lecture PostgreSQL au centre de votre SI avec PostgREST Magazine Marque Contenu Premium Auteurs Par Auverlot Olivier Spécialité(s) Data / Big Data Web Résumé Dans un système d’information, il devient de plus en plus important d’avoir la possibilité d’échanger des données entre applications. Ce passage au stade de l’interopérabilité est généralement confié à des services web autorisant la mise en œuvre d’un couplage faible entre composants. C’est justement ce que permet de faire PostgREST pour les bases de données PostgreSQL. Ajouter à une liste de lecture La place de l’Intelligence Artificielle dans les entreprises Magazine Marque Contenu Premium Auteurs Par Blachowiak Thomas Spécialité(s) Société IA Résumé L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail. Ajouter à une liste de lecture Petit guide d’outils open source pour le télétravail Magazine Marque Contenu Premium Auteurs Par Samhi Jordan Spécialité(s) Système Résumé Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants. Ajouter à une liste de lecture Voir les 4 articles premium Les listes de lecture Python niveau débutant 9 article(s) - ajoutée le 01/07/2020 Code Vous désirez apprendre le langage Python, mais ne savez pas trop par où commencer ? Cette liste de lecture vous permettra de faire vos premiers pas en découvrant l'écosystème de Python et en écrivant de petits scripts. Au pays des algorithmes 11 article(s) - ajoutée le 01/07/2020 Algo La base de tout programme effectuant une tâche un tant soit peu complexe est un algorithme, une méthode permettant de manipuler des données pour obtenir un résultat attendu. Dans cette liste, vous pourrez découvrir quelques spécimens d'algorithmes. Analyse de données en Python 10 article(s) - ajoutée le 01/07/2020 Code À quoi bon se targuer de posséder des pétaoctets de données si l'on est incapable d'analyser ces dernières ? Cette liste vous aidera à "faire parler" vos données. Voir les 139 listes de lecture Abonnez-vous maintenant et profitez de tous les contenus en illimité Je découvre les offres Déjà abonné ? Connectez-vous Domaines CODE / ALGO / IA / BIG DATA / WEB Spécialités : () Cybersécurité offensive & défensive Spécialités : () Electronique / Embarqué / Radio / IoT Spécialités : () SYSADMIN / SYSOPS / DEVOPS / SRE SOUS LINUX Spécialités : () Nos publications GNU/Linux Magazine MISC SysOps Pratique Hackable Aide & Contact Foire Aux Questions Devenir auteur Devenir annonceur Nous contacter Abonnements Abonnement à l'intégrale de Connect Abonnement à GNU/Linux Magazine Abonnement à Misc Abonnement à Hackable Abonnement à SysOps Pratique À propos Qui sommes-nous ? En savoir plus sur Connect Les auteurs Informations légales Titre Tél. : 03.67.10.00.20 img_title_img Tél. : 03.67.10.00.20 Rechercher sur le site Ajouter à une liste de lecture