Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 22:18:27 +00:00

Translator workflow e90c803209 Translated to Japanese

2023-07-07 23:42:27 +00:00

24 KiB

Raw Blame History

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
公式のPEASS＆HackTricksのグッズを手に入れましょう。
💬 DiscordグループまたはTelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。

特権分離とサンドボックス

ユーザーがアクセスできるアプリケーションはmobileユーザーとして実行され、重要なシステムプロセスはrootとして実行されます。
ただし、サンドボックスを使用すると、プロセスやアプリケーションが実行できるアクションをより制御できます。

たとえば、2つのプロセスが同じユーザー（mobile）として実行されていても、お互いのデータにアクセスしたり変更したりすることはできません。

各アプリケーションは**private/var/mobile/Applications/{ランダムなID}の下にインストールされます。
インストールされると、アプリケーションは一部のシステム領域や機能（SMS、電話など）に対して制限付きの読み取りアクセスを持ちます。アプリケーションが保護された領域**にアクセスしようとする場合、許可を要求するポップアップが表示されます。

データ保護

アプリ開発者は、iOSのデータ保護APIを活用して、フラッシュメモリに保存されたユーザーデータの細かいアクセス制御を実装することができます。これらのAPIは、Secure Enclave Processor（SEP）の上に構築されています。SEPは、データ保護とキー管理のための暗号操作を提供するコプロセッサです。デバイス固有のハードウェアキーであるデバイスUID（一意のID）は、セキュアエンクレーブに埋め込まれており、オペレーティングシステムカーネルが侵害された場合でもデータ保護の完全性を保証します。

ファイルがディスク上に作成されると、256ビットのAESキーが生成されます。このキーは、セキュアエンクレーブのハードウェアベースの乱数生成器の助けを借りて生成されます。ファイルの内容は生成されたキーで暗号化されます。そして、このキーは、クラスキーとクラスIDと共に暗号化された状態でシステムのキーによって暗号化されたデータとともに、ファイルのメタデータに保存されます。

ファイルを復号するためには、メタデータをシステムのキーで復号する必要があります。次に、クラスIDを使用してクラスキーを取得し、ファイルのキーを復号してファイルを復号します。

ファイルは、Apple Platform Security Guideで詳しく説明されている4つの異なる保護クラスのいずれかに割り当てることができます。

Complete Protection (NSFileProtectionComplete): ユーザーのパスコードとデバイスUIDから派生したキーがこのクラスキーを保護します。デバイスがロックされるとすぐに、派生キーはメモリから削除されるため、ユーザーがデバイスをアンロックするまでデータにアクセスできません。
Protected Unless Open (NSFileProtectionCompleteUnlessOpen): この保護クラスはComplete Protectionと似ていますが、ファイルがアンロックされた状態で開かれている場合、ユーザーがデバイスをロックしてもアプリはファイルにアクセスし続けることができます。この保護クラスは、たとえばメールの添付ファイルがバックグラウンドでダウンロードされている場合に使用されます。
Protected Until First User Authentication (NSFileProtectionCompleteUntilFirstUserAuthentication): ユーザーがデバイスを起動後、初めてデバイスをアンロックするとすぐにファイルにアクセスできます。ユーザーがその後デバイスをロックしても、クラスキーはメモリから削除されずにアクセスできます。
No Protection (NSFileProtectionNone): この保護クラスのキーはUIDのみで保護されます。クラスキーは「Effaceable Storage」と呼ばれる領域に格納されます。Effaceable Storageは、iOSデバイスのフラッシュメモリの一部であり、小量のデータを保存することができます。この保護クラスは、データをすぐにリモートで削除するために存在します。

NSFileProtectionNone以外のすべてのクラスキーは、デバイスUIDとユーザーのパスコードから派生したキーで暗号化されます。そのため、復号はデバイス自体でのみ行われ、正しいパスコードが必要です。

iOS 7以降、デフォルトのデータ保護クラスは「Protected Until First User Authentication」です。

FileDPは、各ファイルの

kSecAttrAccessibleAlways: キーチェーンアイテムのデータは、デバイスがロックされているかどうかに関係なく、常にアクセスできます。
kSecAttrAccessibleAlwaysThisDeviceOnly: キーチェーンアイテムのデータは、デバイスがロックされているかどうかに関係なく、常にアクセスできます。データはiCloudやローカルバックアップに含まれません。
kSecAttrAccessibleAfterFirstUnlock: ユーザーによってデバイスが一度ロック解除されるまで、キーチェーンアイテムのデータにはアクセスできません。
kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly: ユーザーによってデバイスが一度ロック解除されるまで、キーチェーンアイテムのデータにはアクセスできません。この属性を持つアイテムは新しいデバイスに移行しません。したがって、異なるデバイスのバックアップから復元した後、これらのアイテムは存在しません。
kSecAttrAccessibleWhenUnlocked: ユーザーによってデバイスがロック解除されている間のみ、キーチェーンアイテムのデータにアクセスできます。
kSecAttrAccessibleWhenUnlockedThisDeviceOnly: ユーザーによってデバイスがロック解除されている間のみ、キーチェーンアイテムのデータにアクセスできます。データはiCloudやローカルバックアップに含まれません。
kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly: デバイスがロック解除されている場合にのみ、キーチェーンのデータにアクセスできます。この保護クラスは、デバイスにパスコードが設定されている場合にのみ使用できます。データはiCloudやローカルバックアップに含まれません。

**AccessControlFlags**は、ユーザーがキーに対して認証できるメカニズムを定義します（SecAccessControlCreateFlags）：

kSecAccessControlDevicePasscode: パスコードを使用してアイテムにアクセスします。
kSecAccessControlBiometryAny: 登録されたTouch IDの指紋のいずれかを使用してアイテムにアクセスします。指紋の追加や削除はアイテムを無効にしません。
kSecAccessControlBiometryCurrentSet: 登録されたTouch IDの指紋のいずれかを使用してアイテムにアクセスします。指紋の追加や削除はアイテムを無効にします。
kSecAccessControlUserPresence: 登録された指紋（Touch IDを使用）のいずれかを使用してアイテムにアクセスするか、パスコードをデフォルトとします。

Touch IDによって保護されたキー（kSecAccessControlBiometryAnyまたはkSecAccessControlBiometryCurrentSetを使用）は、セキュアエンクレーブによって保護されています。キーチェーンにはトークンのみが保持され、実際のキーはセキュアエンクレーブに存在します。

iPhoneは、デバイスのロックを解除するためにユーザーが導入したパスコードを使用してキーチェーンの秘密を復号化します。

iOSは、AppIdentifierPrefix（チームID）と_BundleIdentifier_（開発者が提供する）を使用して、キーチェーンアイテムへのアクセス制御を強制します。その後、同じチームは2つのアプリをキーチェーンアイテムを共有するように設定できます。

バックアッププロセスが開始されると、キーチェーンのデータは暗号化されたままバックアップされ、キーチェーンのパスワードはバックアップに含まれません。

{% hint style="warning" %} 脱獄されたデバイスでは、キーチェーンは保護されません。 {% endhint %}

キーチェーンデータの永続性

iOSでは、アプリケーションがアンインストールされると、アプリケーションによって使用されるキーチェーンデータはデバイスに保持されますが、アプリケーションのサンドボックスに保存されるデータは削除されます。デバイスのユーザーが工場出荷時のリセットを行わずにデバイスを販売する場合、前のユーザーが使用していた同じアプリケーションを再インストールすることで、デバイスの購入者は前のユーザーのアプリケーションアカウントとデータにアクセスできる場合があります。これには技術的な能力は必要ありません。

アプリケーションがアンインストールされる際にデータを強制的に削除するために、開発者が使用できるiOSのAPIはありません。代わりに、開発者は次の手順を実行して、アプリケーションのインストール間にキーチェーンデータが永続化されないようにする必要があります：

インストール後、アプリケーションが初めて起動されると、アプリケーションに関連するすべてのキーチェーンデータを削除します。これにより、デバイスの2番目のユーザーが前のユーザーのアカウントに誤ってアクセスすることが防止されます。以下のSwiftの例は、この削除手順の基本的なデモンストレーションです：

let userDefaults = UserDefaults.standard

if userDefaults.bool(forKey: "hasRunBefore") == false {
// Remove Keychain items here

// Update the flag indicator
userDefaults.set(true, forKey: "hasRunBefore")
userDefaults.synchronize() // Forces the app to update UserDefaults
}

iOSアプリケーションのログアウト機能を開発する際には、アカウントのログアウトの一環としてKeychainのデータが削除されることを確認してください。これにより、ユーザーはアプリケーションをアンインストールする前にアカウントをクリアすることができます。

アプリケーションの機能

各アプリには固有のホームディレクトリがあり、サンドボックス化されています。これにより、保護されたシステムリソースやシステムまたは他のアプリによって保存されたファイルにアクセスすることはできません。これらの制限は、Trusted BSD (MAC) Mandatory Access Control Frameworkによってカーネル拡張を介して実施されるサンドボックスポリシー（またはプロファイル）によって実装されています。

一部の機能/許可は、アプリの開発者によって設定できます（例：データ保護またはKeychain共有）し、インストール後に直接効果が現れます。ただし、他の機能については、アプリが保護されたリソースにアクセスしようとする最初の時にユーザーに明示的に尋ねられます。

目的の文字列または_使用目的の文字列_は、保護されたデータやリソースへのアクセスの許可を要求する際に、システムの許可リクエストアラートでユーザーに提供されるカスタムテキストです。

元のソースコードがある場合は、Info.plistファイルに含まれる許可を確認できます：

Xcodeでプロジェクトを開きます。
デフォルトのエディタでInfo.plistファイルを見つけて開き、"Privacy -"で始まるキーを検索します。

右クリックして「Show Raw Keys/Values」を選択することで、ビューを生の値に切り替えることができます（これにより、たとえば"Privacy - Location When In Use Usage Description"がNSLocationWhenInUseUsageDescriptionに変わります）。

IPAのみがある場合：

IPAを解凍します。
Info.plistはPayload/<appname>.app/Info.plistにあります。
必要に応じて変換します（例：plutil -convert xml1 Info.plist）。「iOS Basic Security Testing」の章、「The Info.plist File」のセクションで説明されているように。
通常、すべての目的の文字列Info.plistキーを調べます。これらは通常、UsageDescriptionで終わります：

<plist version="1.0">
<dict>
<key>NSLocationWhenInUseUsageDescription</key>
<string>Your location is used to provide turn-by-turn directions to your destination.</string>

デバイスの機能

デバイスの機能は、App Storeが互換性のあるデバイスのみをリストアップし、アプリのダウンロードを許可するために使用されます。これらは、アプリのInfo.plistファイルのUIRequiredDeviceCapabilitiesキーの下に指定されます。

<key>UIRequiredDeviceCapabilities</key>
<array>
<string>armv7</string>
</array>

通常、armv7の能力が見つかります。これは、アプリがarmv7命令セットのみにコンパイルされていることを意味します。または、32/64ビットのユニバーサルアプリの場合です。

たとえば、アプリが完全にNFCに依存している場合（例："NFC Tag Reader"アプリ）、iOSデバイス互換性リファレンス（アーカイブ版）によると、NFCはiPhone 7（およびiOS 11）から利用可能です。開発者は、nfcデバイスの能力を設定することで、すべての非互換デバイスを除外することができます。

エンタイトルメント

エンタイトルメントは、ランタイム要因のようなものを超えた認証を可能にする、アプリに署名されたキーバリューペアです。エンタイトルメントはデジタルに署名されているため、変更することはできません。エンタイトルメントは、システムアプリやデーモンが特定の特権操作を実行するために広範に使用されます。これにより、侵害されたシステムアプリやデーモンによる特権エスカレーションの可能性が大幅に低下します。

たとえば、「デフォルトのデータ保護」機能を設定したい場合、XcodeのCapabilitiesタブに移動し、Data Protectionを有効にする必要があります。これは、Xcodeによって<appname>.entitlementsファイルに直接書き込まれ、デフォルト値NSFileProtectionCompleteを持つcom.apple.developer.default-data-protectionエンタイトルメントとして記述されます。IPA内では、これをembedded.mobileprovision内に見つけることができます。

<key>Entitlements</key>
<dict>
...
<key>com.apple.developer.default-data-protection</key>
<string>NSFileProtectionComplete</string>
</dict>

他の機能（例：HealthKit）については、ユーザーに許可を求める必要があります。そのため、エンタイトルメントを追加するだけでは十分ではありません。アプリのInfo.plistファイルに特別なキーと文字列を追加する必要があります。

Objective-CとSwiftの基礎

Objective-Cは動的なランタイムを持っているため、iOSでObjective-Cプログラムが実行されると、メッセージで送信された関数の名前を使用して、利用可能なすべての関数名のリストと比較して、ランタイムで関数のアドレスを解決します。

最初は、Appleが作成したアプリのみがiPhoneで実行され、信頼されていたため、彼らはすべてにアクセスできました。しかし、Appleがサードパーティのアプリケーションを許可すると、Appleは強力な関数のヘッダーファイルを削除して、開発者にそれらを「隠しました」。しかし、開発者は「安全な」関数にはこれらの未公開の関数が必要であることに気付き、未公開の関数の名前を含むカスタムヘッダーファイルを作成するだけで、この強力な隠し関数を呼び出すことができました。実際、Appleはアプリを公開する前に、そのアプリがこれらの禁止された関数のいずれかを呼び出しているかどうかをチェックします。

そして、Swiftが登場しました。Swiftは静的にバインドされているため（Objective-Cのようにランタイムで関数のアドレスを解決しない）、Swiftプログラムが行う呼び出しを静的なコード解析でより簡単にチェックできます。

デバイス管理

iOSバージョン6以降、デバイス管理機能の組み込みサポートがあり、組織が企業のAppleデバイスを制御できる細かい制御が可能です。
登録は、ユーザーがエージェントをインストールして企業のアプリにアクセスすることで開始できます。この場合、デバイスは通常、ユーザーの所有です。
または、企業は購入したデバイスのシリアル番号や注文IDを指定し、それらのデバイスにインストールするMDMプロファイルを指定することができます。ただし、Appleはこの方法で特定のデバイスを2回登録することを許可していません。最初のプロファイルが削除されると、別のプロファイルをインストールするためにユーザーの同意が必要です。

ユーザーは、設定 --> 一般 --> _プロファイルとデバイス管理_でインストールされたポリシーを確認できます。

これらのMDMポリシーは他のアプリケーションをチェックおよび制限するため、より高い特権で実行されます。
MDMポリシーは、ユーザーにパスコードの設定を強制することができます。パスワードの複雑さには最小の要件があります。
プロファイルはデバイスIDに紐づけられ、MDMサーバーによって署名され、暗号化され、改ざんできないようになっています。これらは削除することができず、削除するとすべての企業データが失われます。
MDMプロファイルにより、X回のパスワード誤りがある場合にはすべてのデータを消去することができます。また、管理者はMDMインターフェースを介していつでもiPhoneをリモートワイプすることができます。

MDMエージェントは、デバイスの脱獄の可能性もチェックします。なぜなら、これはiPhoneにとって非常に危険な状態だからです。