Es ingeniería inversa al núcleo. Buscan hazañas, accidentes sospechosos y luego buscan la causa. A veces, la causa puede ser realmente explotable (como un desbordamiento en alguna parte).
Explicar sus detalles está más allá del alcance de esta respuesta, pero las personas que hacen esto realmente saben lo que están haciendo. Se han depurado como los mejores amigos y pasan mucho tiempo haciéndolo
Aquí, para darle una idea de lo complejo que puede ser, lea esto:
- Estoy buscando construir mi propia API, ¿qué lenguaje de programación debo usar para una aplicación de redes sociales en iOS? ¿PHP está bien?
- ¿Qué piensan los empleados de Samsung del diseño de Apple?
- Mirando hacia el futuro: ¿Es mejor ser realmente bueno en la programación Mac / iOS o la programación web?
- ¿Qué debe saber todo principiante en el desarrollo de aplicaciones iOS?
- ¿IOS 5 mueve a Apple por delante de todos de nuevo o solo están jugando para ponerse al día?
Inside Evasi0n, el Jailbreak más elaborado para hackear tu iPhone – Forbes
Uno de los chicos detrás de Evasi0n explica algunas de sus hazañas, que incluyen:
Evasi0n comienza ejecutando libimobiledevice, un programa que sustituye a iTunes para comunicarse con dispositivos iOS a través del mismo protocolo que el programa de Apple. Usando esa herramienta, Evasi0n explota un error en el sistema de copia de seguridad móvil de iOS para obtener acceso a ciertas configuraciones a las que normalmente no debería poder acceder, es decir, un archivo que indica la zona horaria del dispositivo.
El programa jailbreak inserta un “enlace simbólico” en ese archivo de zona horaria, un acceso directo de un lugar en un sistema operativo a otro. En este caso, el enlace conduce a un cierto “socket”, un canal de comunicación restringido entre diferentes programas que Wang describe como una especie de “teléfono rojo a Moscú”. Evasi0n altera el socket que permite que los programas se comuniquen con un programa llamado Launch Daemon, launchd abreviado, un proceso maestro que se carga primero cada vez que se inicia un dispositivo iOS y puede iniciar aplicaciones que requieren privilegios de “root”, un paso más allá del control del sistema operativo que los usuarios de forma predeterminada. Eso significa que siempre que se ejecuta una copia de seguridad móvil de un iPhone o iPad, automáticamente otorga acceso a todos los programas al archivo de zona horaria y, gracias al truco del enlace simbólico, acceso a launchd.
Tenga esto también, detalles sobre cómo el ahora desaparecido JailbreakMe solía trabajar explotando una vulnerabilidad de PDF:
JailbreakMe 3.0: ¿Cómo funciona? El | TechHive
JailbreakMe se introdujo por primera vez en 2007 para iOS 1.1.1. Inicialmente explotó una vulnerabilidad de representación TIFF en Safari, que rápidamente fue parcheada por Apple en iOS 1.1.2. La versión 2.0 usó un exploit similar en la representación de PDF de Adobe en iOS 3 (e incluso estuvo presente en iOS 4 cuando se lanzó por primera vez), pero fue nuevamente parcheado por Apple con iOS 4.0.2. La versión 3.0 explota una vulnerabilidad diferente en el sistema de representación de PDF de Safari. Una vez más, Safari carga un archivo PDF pirateado que contiene un código oculto de jailbreak que luego se inyecta en el sistema de archivos raíz de su iDevice, todo desde un sitio HTTP normal y no seguro.
En cuanto a su segunda pregunta, descifrar la mayoría de las aplicaciones no es realmente demasiado difícil. En última instancia, depende de cuántas comprobaciones de seguridad agregarán los desarrolladores y algunos otros factores. En pocas palabras, el binario (formalmente conocido como mach-o en el mundo OS X) siempre está encriptado, pero debe desencriptarse antes de que pueda ejecutarse en cualquier dispositivo. Por lo general, el dispositivo “verifica” si el usuario está autorizado para ejecutar una aplicación determinada antes de cargarla en la memoria. Luego lo descifra en tiempo de ejecución y está listo para ejecutarse. Los hackers aprovechan el hecho de que el binario se descifra en tiempo de ejecución porque les permite volcarlo y analizarlo como quieran. El mach-o está formado por un encabezado y sus datos, y el encabezado contiene información sobre el binario, incluyendo cosas como dónde “comienza” el programa, etc. Entonces, todo lo que hacen los crackers es analizar el volcado (hecho con la línea de comando otool) y cambiar algunas cosas en el encabezado para que puedan ejecutar la aplicación sin permisos.
Me queda poco tiempo, así que no puedo darle enlaces sobre fuentes informativas sobre el craqueo de aplicaciones, pero esos son los conceptos básicos.
