aplicación de iOS pentest sin jailbreak

4

¿Es posible ejecutar una evaluación de seguridad en una aplicación iOS usando un dispositivo sin jailbreak?

Mi dispositivo se restauró recientemente (se recuperó - no había SHSH blobs) a iOS 8.4.1 (ya que a Apple no le gusta que la gente use menos que las últimas versiones de firmware) y como no hay un método público disponible para solucionarlo (probablemente para las próximas semanas), las herramientas necesarias no se pueden instalar (hasta donde sé).

Entonces, ¿alguien ha hecho algo como esto?

    
pregunta DarkLighting 01.09.2015 - 21:10
fuente

1 respuesta

2

Recientemente, pude degradar mi iOS 8.4.1 a 8.4 y jailbreak. Sin embargo, como mencionaste, esto ya no es posible, especialmente sin las burbujas SHSH.

Hay formas de realizar una evaluación de seguridad en un dispositivo iOS enjaulado. El método se detalló por primera vez aquí: enlace

pero Carl Livitt habló sobre una mayor elaboración de las necesidades de pruebas de penetración de aplicaciones móviles modernas en el blog Bishop Fox en una serie de dos partes:

Encontrará algunos servicios, como BlueMix de IBM AppScan Mobile Analyzer para iOS , realizará evaluaciones similares (pero quizás no las mismas) utilizando dispositivos iOS enjaulados.

Una vez que haya habilitado el uso del sustrato de Cydia (o el código), no debería ser un gran desafío obtener el estándar Theos , Logos , idb y Frida herramientas en funcionamiento. Puede leer más sobre Theos y Logos (y la infraestructura asociada) en la subsección "Tweak Development Using Theos and Logos" del Manual de piratería de aplicaciones móviles, así como Frida y Cydia Substrate en su sección "Atacando el tiempo de ejecución de iOS". Puede encontrar más información sobre idb en el libro "Learning iOS Forensics". Conectar algunas funciones que aceptan una variedad de argumentos puede ser un desafío adicional, pero hay un código de concepto capaz de enganchar funciones variadic .

    
respondido por el atdre 01.09.2015 - 22:44
fuente

Lea otras preguntas en las etiquetas