如何检测越狱手机。
在应用开发过程中,我们希望知道设备是否越狱,正以什么权限运行程序,好对应采取一些防御和安全提示措施。
一般我们通过一些常规的防御性代码,去做这种检测,当然,这样的检测有一定的误报概率,但是对于APP的开发者来讲,需要确定一个原则,哪怕是越狱手机检测成未越狱,也不能将未越狱的手机检测成越狱手机。
//
// BreakPrison.m
// 越狱
//
// Created by apple on 2019/4/23.
// Copyright © 2019 apple. All rights reserved.
//
#import "BreakPrison.h"
#import <UIKit/UIKit.h>
#import <sys/stat.h>
#import <dlfcn.h>
#import <mach-o/dyld.h>
@implementation BreakPrison
// 参考代码 : https://www.jianshu.com/p/a43be50dc958
// https://github.com/guochaoshun/breakPrison
// load是系统调用的,不会被hook,一定要用真机测试
+ (void)load {
if (isAlreadyBreakPrison()) {
NSLog(@"该设备已经越狱了");
// exit(0);
}
NSLog(@"设备正常");
}
//为什么用c方法呢?
//因为c语言是静态的,在编译时已经确定了函数的调用地址,不会被hook,而系统的c方法,因为动态链接库的原因,可能被hook
/// 这个设备是否已经越狱了,
bool isAlreadyBreakPrison(){
// 1.越狱后会在系统的根目录下添加一些文件,根据这些文件是否存在,判定是否越狱
// Cydia是越狱过程中装的一个破解软件,类似于App Store
NSString *cydiaPath = @"/Applications/Cydia.app";
NSString *aptPath = @"/private/var/lib/apt/";
// 未越狱的手机没有权限查看系统的按照目录,可以通过尝试读取应用列表,看有无权限:
NSString *applications = @"/User/Applications/";
// dylib动态库注入也是常有的攻击手段
NSString *Mobile = @"/Library/MobileSubstrate/MobileSubstrate.dylib";
// 这个是脚本(Unix shell),正常iOS是没有的
NSString *bash = @"/bin/bash";
// linux下控制脚本的
NSString *sshd =@"/usr/sbin/sshd";
NSString *sd = @"/etc/apt";
NSArray * fileArray = @[cydiaPath,aptPath,applications,
Mobile,bash,sshd,sd];
for (NSString * filePath in fileArray) {
if([[NSFileManager defaultManager] fileExistsAtPath:filePath]) {
return YES;
}
}
//2.使用stat系列函数检测Cydia等工具
// stat函数: 通过文件名filename获取文件信息,并保存在buf所指的结构体stat中
// 执行成功则返回0,失败返回-1
struct stat stat_info;
if (0 == stat("/Applications/Cydia.app", &stat_info)) {
return YES;
}
if([[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@"cydia://"]]){
return YES;
}
//3.检查下stat是否被替换
// stat函数可以被fishhook替换掉,
// 看看stat是不是出自系统库,有没有被攻击者换掉
// 如果结果不是 /usr/lib/system/libsystem_kernel.dylib 的话,那就100%被攻击了。
int ret;
Dl_info dylib_info;
int (*func_stat)(const char *, struct stat *) = stat;
// dladdr : 获取某个地址的符号信息
if ((ret = dladdr(func_stat, &dylib_info))) {
NSString *str = [NSString stringWithFormat:@"%s",dylib_info.dli_fname];
if (![str isEqualToString:@"/usr/lib/system/libsystem_kernel.dylib"]) {
return YES;
}
}
//4.MobileSubstrate.dylib是一个动态库框架,允许第三方的开发者在系统的方法里打一些运行时补丁
//
// 越狱机的输出结果会包含字符串: Library/MobileSubstrate/MobileSubstrate.dylib 。
// 获取到所有的动态模块
uint32_t count = _dyld_image_count();
for (uint32_t i = 0 ; i < count; ++i) {
NSString *name = [[NSString alloc]initWithUTF8String:_dyld_get_image_name(i)];
// NSLog(@"%@",name);
if ([name containsString:@"Library/MobileSubstrate/MobileSubstrate.dylib"]) {
return YES;
}
}
//5.DYLD_INSERT_LIBRARIES环境变量,可以不修改App的任何字节,实现注入dyld的过程。
// getenv:从环境中取字符串,获取环境变量的值.
// 未越狱设备返回结果是null,越狱设备就各有各的精彩了,尤其是老一点的iOS版本越狱环境。
char *env = getenv("DYLD_INSERT_LIBRARIES");
if(env){
return YES;
}
return NO;
}
@end
C语言本身是静态的 , 但是由于有动态库的加载机制,所以系统提供C方法也是可以被hook的 , 所以也印证了那句话:没有绝对的安全,你唯一能做的就是拖延攻击者的脚步。
load方法是不能被hook的,而且load方法是我们写的代码中最先的被执行的.
禁止GDB调试
什么是GDB?
所有发布的iOS设备都是基于ARM架构的。我们开发iOS应用的时候编写的Objective-C代码会首先转换成ARM汇编,然后转换成机器指令。对ARM汇编语言和使用GDB调试有很好掌握的话,攻击者是能够在运行时解密Objective-C代码甚至修改代码的。
在安全评测的时候这个GDB挂起是必不可少的一个安全评测协议。
代码编写流程:
1:main.m中 引入头文件如下:
#import <dlfcn.h>
#import<sys/types.h>
2:添加对应函数如下:
typedef int(*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);
#if!defined(PT_DENY_ATTACH)
#define PT_DENY_ATTACH 31
#endif // !defined(PT_DENY_ATTACH)
void disable_gdb() {
void* handle = dlopen(0, RTLD_GLOBAL |RTLD_NOW);
ptrace_ptr_t ptrace_ptr = dlsym(handle,"ptrace");
ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);
dlclose(handle);
}
3:在工程的mian.m文件的main函数里头就要这样写了:
int main(int argc, char *argv[]) {
/**防止GDB挂起*/
#ifndef DUBUG
disable_gdb();
#endif
@autoreleasepool {
return UIApplicationMain(argc, argv, nil,NSStringFromClass([AppDelegate class]));
}
}
最后,附上完整的main.m文件的内容
#import <UIKit/UIKit.h>
#import "AppDelegate.h"
// 禁止GDB调试 :
#import <dlfcn.h>
#import <sys/types.h>
typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);
#if !defined(PT_DENY_ATTACH)
#define PT_DENY_ATTACH 31
#endif // !defined(PT_DENY_ATTACH)
void disable_gdb() {
void* handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW);
ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace");
ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);
dlclose(handle);
}
int main(int argc, char * argv[]) {
#ifndef DEBUG
disable_gdb();
#endif
@autoreleasepool {
return UIApplicationMain(argc, argv, nil, NSStringFromClass([AppDelegate class]));
}
}
使用HTTPS,网络安全 ,
HTTPS证书分为两种,一种是花钱向认证的机构购买的证书,服务端如果使用的是这类证书的话,那一般客户端不需要做什么,只需要把请求的链接地址改成HTTPS就行了,苹果内置了那些受信任的根证书的。
另一种是服务器制作的证书,使用这类证书的话是不受信任的(当然也不用花钱买),因此需要我们在代码中将该证书设置为信任证书。需要后台的人员给一个cer文件,这个cer文件中有服务器的公钥.
如果他们给的是crt证书 , 那就进到证书路径,执行下面语句
openssl x509 -in 你的证书.crt -out 你的证书.cer -outform der
这样你就可以得到cer类型的证书了。
1. 双击证书,这时证书已经添加到了钥匙串中
2. 将cer 文件拖入工程中
3.1 如果使用的是AFNetwotking 的话,在代码中添加以下代码,
typedef NS_ENUM(NSUInteger, AFSSLPinningMode) {
AFSSLPinningModeNone,
AFSSLPinningModePublicKey,
AFSSLPinningModeCertificate,
};
+ (AFSecurityPolicy*)customSecurityPolicy
{
// /先导入证书
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"hgcang" ofType:@"cer"];//证书的路径
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
/**
AFSecurityPolicy分三种验证模式:
AFSSLPinningModeNone:只是验证证书是否在信任列表中
AFSSLPinningModeCertificate:该模式会验证证书是否在信任列表中,然后再对比服务端证书和客户端证书是否一致
AFSSLPinningModePublicKey:只验证服务端证书与客户端证书的公钥是否一致
*/
// AFSSLPinningModeCertificate 使用证书验证模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
// 如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = YES;
//validatesDomainName 是否需要验证域名,默认为YES;
//假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
//置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。
//因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
//如置为NO,建议自己添加对应域名的校验逻辑。
securityPolicy.validatesDomainName = NO;
securityPolicy.pinnedCertificates = @[certData];
return securityPolicy;
}
在生成AFHTTPSessionManager的时候设置下
AFHTTPSessionManager * manager = [AFHTTPSessionManager manager];
manager.securityPolicy = [self customSecurityPolicy];
3.2 SDWebImage,这样设置, 建议还是直接改类别中的方法,如果图片的路径还是http的话就不用管了,
[imageView sd_setImageWithURL:[NSURL URLWithString:name] placeholderImage:[UIImage imageNamed:@"*.png"]
options:SDWebImageAllowInvalidSSLCertificates];
3.3如果是用的原生请求的话 , 主要参考文章
生成URLSession的时候没什么变化
NSString *urlString = @"https://xxxxxxx";
NSURL *url = [NSURL URLWithString:urlString];
NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:url cachePolicy:NSURLRequestReloadIgnoringCacheData
timeoutInterval:10.0f];
NSURLSession *session = [NSURLSession sessionWithConfiguration:[NSURLSessionConfiguration defaultSessionConfiguration]
delegate:self delegateQueue:[NSOperationQueue mainQueue]];
NSURLSessionDataTask *task = [session dataTaskWithRequest:request];
[task resume];
在代理方法中:
简单版, 简单验证然后信任
// HTTPS证书验证,仿写了AFN的验证
- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition, NSURLCredential * _Nullable))completionHandler {
NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
NSURLCredential *credential = nil;
/**
NSURLAuthenticationMethodHTTPBasic //HTTP基本验证,服务器向客户端询问用户名,密码
NSURLAuthenticationMethodClientCertificate//客户端证书验证,服务器向客户端询客户端身份证书
NSURLAuthenticationMethodServerTrust//服务器端证书验证,客户端对服务器端的证书进行验证。HTTPS中的服务器端证书验证属于这一种
*/
if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
// 认证结果,信任这个challenge.protectionSpace.serverTrust
credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
if (credential) {
disposition = NSURLSessionAuthChallengeUseCredential; // 使用证书
} else {
disposition = NSURLSessionAuthChallengePerformDefaultHandling; // 使用证书但是会进行CA认证
}
}
// 如果disposition是NSURLSessionAuthChallengeUseCredential,credential必须有值
// NSURLSessionAuthChallengePerformDefaultHandling,credential可以为nil
if (completionHandler) {
completionHandler(disposition, credential);
}
}
如果需要更严格点的认证, 就看下面, 会读取本地证书并验证, 和AF内部的验证方法对照了一下,大体是相同的, 只是写在了一个方法里面
- (void)URLSession:(NSURLSession *)session
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition
disposition, NSURLCredential * _Nullable credential))completionHandler {
NSLog(@"证书认证");
if ([[[challenge protectionSpace] authenticationMethod] isEqualToString: NSURLAuthenticationMethodServerTrust]) {
do
{
SecTrustRef serverTrust = [[challenge protectionSpace] serverTrust];
NSCAssert(serverTrust != nil, @"serverTrust is nil");
if(nil == serverTrust)
break; /* failed */
/**
* 导入多张CA证书(Certification Authority,支持SSL证书以及自签名的CA),请替换掉你的证书名称
*/
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"ca" ofType:@"cer"];//自签名证书
NSData* caCert = [NSData dataWithContentsOfFile:cerPath];
NSCAssert(caCert != nil, @"caCert is nil");
if(nil == caCert)
break; /* failed */
SecCertificateRef caRef = SecCertificateCreateWithData(NULL, (__bridge CFDataRef)caCert);
NSCAssert(caRef != nil, @"caRef is nil");
if(nil == caRef)
break; /* failed */
//可以添加多张证书
NSArray *caArray = @[(__bridge id)(caRef)];
NSCAssert(caArray != nil, @"caArray is nil");
if(nil == caArray)
break; /* failed */
//将读取的证书设置为服务端帧数的根证书
OSStatus status = SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)caArray);
NSCAssert(errSecSuccess == status, @"SecTrustSetAnchorCertificates failed");
if(!(errSecSuccess == status))
break; /* failed */
SecTrustResultType result = -1;
//通过本地导入的证书来验证服务器的证书是否可信
status = SecTrustEvaluate(serverTrust, &result);
if(!(errSecSuccess == status))
break; /* failed */
NSLog(@"stutas:%d",(int)status);
NSLog(@"Result: %d", result);
BOOL allowConnect = (result == kSecTrustResultUnspecified) || (result == kSecTrustResultProceed);
if (allowConnect) {
NSLog(@"success");
}else {
NSLog(@"error");
}
/* kSecTrustResultUnspecified and kSecTrustResultProceed are success */
if(! allowConnect)
{
break; /* failed */
}
#if 0
/* Treat kSecTrustResultConfirm and kSecTrustResultRecoverableTrustFailure as success */
/* since the user will likely tap-through to see the dancing bunnies */
if(result == kSecTrustResultDeny || result == kSecTrustResultFatalTrustFailure || result == kSecTrustResultOtherError)
break; /* failed to trust cert (good in this case) */
#endif
// The only good exit point
NSLog(@"信任该证书");
NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
completionHandler(NSURLSessionAuthChallengeUseCredential,credential);
[[challenge sender] useCredential: credential
forAuthenticationChallenge: challenge];
}
while(0);
}
// Bad dog
NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
completionHandler(NSURLSessionAuthChallengeCancelAuthenticationChallenge,credential);
[[challenge sender] cancelAuthenticationChallenge: challenge];
}