iOS防护----越狱检测

素颜马尾好姑娘i 2022-05-16 15:21 956阅读 0赞

如何检测越狱手机一直是iOS应用安全防护的第一道门槛。  
在应用开发过程中，我们希望知道设备是否越狱，正以什么权限运行程序，好对应采取一些防御和安全提示措施。  
一般我们通过一些常规的防御性代码，去做这种检测，当然，这样的检测有一定的误报概率，但是对于APP的开发者来讲，需要确定一个原则，**哪怕是越狱手机检测成未越狱，也不能将未越狱的手机检测成越狱手机。**  
首先我们进行常规的文件路径检测：

//这里都是一些越狱后的手机带的一些框架和工具，未越狱的手机是装不上的。
    
    - (void)isOk0 { 
        NSString *cydiaPath = @"/Applications/Cydia.app";
        NSString *aptPath = @"/private/var/lib/apt/";
        NSString *applications = @"/User/Applications/";
        NSString *Mobile = @"/Library/MobileSubstrate/MobileSubstrate.dylib";
        NSString *bash = @"/bin/bash";
        NSString *sshd =@"/usr/sbin/sshd";
        NSString *sd = @"/etc/apt";
        if ([[NSFileManager defaultManager] fileExistsAtPath:cydiaPath]) { 
            exit(0);
        }
        if ([[NSFileManager defaultManager] fileExistsAtPath:aptPath]) { 
            exit(0);
        }
        if([[NSFileManager defaultManager] fileExistsAtPath:cydiaPath]) { 
            exit(0);
        }
        
        if([[NSFileManager defaultManager] fileExistsAtPath:aptPath]) { 
            exit(0);
        }
        
        if ([[NSFileManager defaultManager] fileExistsAtPath:applications]){ 
            exit(0);
        }
        
        if ([[NSFileManager defaultManager] fileExistsAtPath:Mobile]){ 
            exit(0);
        }
        
        if ([[NSFileManager defaultManager] fileExistsAtPath:bash]){ 
            exit(0);
        }
        
        if ([[NSFileManager defaultManager] fileExistsAtPath:sshd]){ 
            exit(0);
        }
        
        if ([[NSFileManager defaultManager] fileExistsAtPath:sd]){ 
            exit(0);
        }
    }

这里直接exit(0)是为了防止一些绕过策略，比如替换方法，导致检测代码被绕过。如果检测到手机越狱，直接退出软件。

当然了，攻击者可以直接通过替换系统的fileExistsAtPath函数，让他一直返回false，从而绕过软件路径的检测。这时候就需要一些C语言的函数去做更加精确的检测。  
以下函数需要引用头文件：

#import <sys/stat.h>
    #import <dlfcn.h>
    #import <stdlib.h>
    #import <mach-o/dyld.h>
    
    - (void)isOK1 { 
        //可能存在hook了NSFileManager方法，此处用底层C stat去检测
        // /Library/MobileSubstrate/MobileSubstrate.dylib 最重要的越狱文件，几乎所有的越狱机都会安装MobileSubstrate
        // /Applications/Cydia.app/ /var/lib/cydia/绝大多数越狱机都会安装
        struct stat stat_info;
        if (0 == stat("/Library/MobileSubstrate/MobileSubstrate.dylib", &stat_info)) { 
            exit(0);
        }
        if (0 == stat("/Applications/Cydia.app", &stat_info)) { 
            exit(0);
        }
        if (0 == stat("/var/lib/cydia/", &stat_info)) { 
            exit(0);
        }
        if (0 == stat("/var/cache/apt", &stat_info)) { 
            exit(0);
        }
        if (0 == stat("/var/lib/apt", &stat_info)) { 
            exit(0);
        }
        if (0 == stat("/etc/apt", &stat_info)) { 
            exit(0);
        }
        if (0 == stat("/bin/bash", &stat_info)) { 
            exit(0);
        }
        if (0 == stat("/bin/sh", &stat_info)) { 
            exit(0);
        }
        if (0 == stat("/usr/sbin/sshd", &stat_info)) { 
            exit(0);
        }
        if (0 == stat("/usr/libexec/ssh-keysign", &stat_info)) { 
            exit(0);
        }
        if (0 == stat("/etc/ssh/sshd_config", &stat_info)) { 
            exit(0);
        }
    }

可能存在stat也被hook了，可以看stat是不是出自系统库，有没有被攻击者换掉，这种情况出现的可能性不大，如果结果不是 /usr/lib/system/libsystem\_kernel.dylib 的话，那就100%被攻击了。

- (void)isOK2 { 
        //可能存在stat也被hook了，可以看stat是不是出自系统库，有没有被攻击者换掉
        //这种情况出现的可能性很小
        int ret;
        Dl_info dylib_info;
        int (*func_stat)(const char *,struct stat *) = stat;
        if ((ret = dladdr(&func_stat, &dylib_info))) { 
            NSLog(@"lib:%s",dylib_info.dli_fname);      //如果不是系统库，肯定被攻击了
            if (strcmp(dylib_info.dli_fname, "/usr/lib/system/libsystem_kernel.dylib")) {    //不相等，肯定被攻击了，相等为0
                exit(0);
            }
        }
    }

可以检索自己的应用程序是否被链接了异常动态库，列出所有已链接的动态库，通常情况下，会包含越狱机的输出结果会包含字符串： Library/MobileSubstrate/MobileSubstrate.dylib ：

- (void)isOK3 { 
        //列出所有已链接的动态库：
        //通常情况下，会包含越狱机的输出结果会包含字符串： Library/MobileSubstrate/MobileSubstrate.dylib 。
        uint32_t count = _dyld_image_count();
        for (uint32_t i = 0 ; i < count; ++i) { 
            NSString *name = [[NSString alloc]initWithUTF8String:_dyld_get_image_name(i)];
            if ([name containsString:@"Library/MobileSubstrate/MobileSubstrate.dylib"]) { 
                exit(0);
            }
        }
    }

如果攻击者给MobileSubstrate改名，但是原理都是通过DYLD\_INSERT\_LIBRARIES注入动态库，我们可以查看一下环境变量：

- (void)isOK4 { 
        //如果攻击者给MobileSubstrate改名，但是原理都是通过DYLD_INSERT_LIBRARIES注入动态库
        //那么可以，检测当前程序运行的环境变量
        char *env = getenv("DYLD_INSERT_LIBRARIES");
        if (env != NULL) { 
            exit(0);
        }
    }

虽然这里用到的是C语言检测函数，但这些函数被hook的可能性也是存在的，比如fishhook。。  
如果真有大佬手动hook这些函数或者直接修改二进制的话，那也没啥好防的，大佬们随便吧。。

所以也印证了那句话：**没有绝对的安全，你唯一能做的就是拖延攻击者的脚步。**

对于这些函数，不建议单独写方法，容易被hook掉，所以最好是写在不能被hook的函数里，比如application:(UIApplication \*)application didFinishLaunchingWithOptions:(NSDictionary \*)launchOptions。。。

谁TM会hook程序的初始化函数。。

另外越狱检测函数最好不要出现Jailbreak，或者canijailbreak，或者AntiJailbreak这种字段，很容易被定位到。