如何對iOS應用進行修改并重新簽名
前言
在某些場景下,你可能需要在沒越獄的iOS設備上運行修改過的iOS應用,特別是當手上已越獄的iPhone突然變磚,只能被迫升級到非越獄版本的iOS系統時,這種需求顯得更加迫切。再如,你需要使用這項技術來動態分析測試應用程序,或者你可能需要使用GPS欺騙手段來繞過Pokemon的鎖區限制,在非洲地區捕捉寵物小精靈,而又不想承擔越獄帶來的安全風險。無論是哪種情況,你都可以使用本文介紹的方法對某個經過修改的應用重新簽名并在自己的設備上成功運行。需要注意的是,這種技術僅在應用程序不是經過FairPlay加密(即從應用商店上下載)時才能正常工作。
由于Apple采用了較為復雜的配置及代碼簽名系統,在iOS系統上對程序進行重新簽名會比想象中困難得多。只有使用正確的配置文件以及完全正確的代碼簽名頭,iOS系統才會允許應用程序正常運行。這使得你需要熟知許多概念:如不同類型的證書、BundleID、應用ID、團隊ID,以及如何使用Apple的編譯工具將這些東西結合在一起。簡而言之,要想讓不經過默認方法(即XCode環境)編譯生成的程序在iOS上正確運行將會是一個困難重重的過程。
我們在本文中使用的工具集包括optool、Apple的編譯環境以及一些shell命令。我們所使用的方法靈感來自于Vincent Tan的Swizzler項目。此外,NCC工作組采用其他工具集也完成了同樣的工作。
要復現下文列出的步驟,請從OWASP Mobile Testing Guide軟件倉庫中下載UnCrackable Ios App Level 1這個示例應用,我們的目標是修改UnCrackable這個應用,使它在啟動時加載FridaGadget.dylib,以便后續可以用Frida來加載該應用進行測試。
獲取開發者配置文件(Provisioning Profile)及證書
開發者配置文件是由Apple簽名的一個plist文件,它將開發者的代碼簽名證書列入一個或多個設備的白名單中。話句話說,Apple通過這種方式顯式允許開發者的應用程序在某些設備的上下文環境中運行(如對特定設備進行調試)。配置文件還列出了應用程序所能獲得的權限信息。代碼簽名證書包含了開發者在對應用進行簽名時所用到的私鑰。
1)使用iOS開發者賬號時
如果你之前使用Xcode開發和部署過iOS應用,你已經獲得了一個代碼簽名證書。你可以使用security工具列出你現有的簽名身份碼:
- $ security find-identity -p codesigning -v
- 1) 61FA3547E0AF42A11E233F6A2B255E6B6AF262CE "iPhone Distribution: Vantage Point Security Pte. Ltd."
- 2) 8004380F331DCA22CC1B47FB1A805890AE41C938 "iPhone Developer: Bernhard Müller (RV852WND79)"
已經注冊的開發者可以從Apple開發者門戶上獲取配置文件。首先你需要創建一個新的App ID,之后發起一個配置文件請求,以便該App ID能在你的設備上運行。要是只是想對應用進行重新打包,那么選擇哪個App ID并不重要,你甚至可以重復使用之前使用過的App ID。關鍵點在于你需要一個正確匹配的配置文件,因為需要將調試器附加到應用上進行工作,請確保你創建的是一個開發配置文件(development provisioning profile)而不是分發配置文件(distribution profile)。
在下文的shell命令中,我使用了自己的簽名身份,該簽名身份與我公司的開發團隊相關聯。我創建了名為“sg.vp.repackaged”的app-id,以及一個名為“AwesomeRepackaging”的配置文件,生成了一個名為“AwesomeRepackaging.mobileprovision”的文件,請你在實際操作時將這些字段替換為你自己的文件名。
2)使用普通iTunes賬號時
幸運的是,即便你不是付費開發者,Apple也會給你發放一個免費的開發配置文件。你可以使用自己的Apple賬戶,通過Xcode環境獲得該配置文件——只需要創建一個空的iOS工程,并從應用容器中提取embedded.mobileprovision即可。NCC博客對整個過程進行了詳細描述。
獲取到配置文件后,你可以使用security工具檢查其內容。除了證書及設備信息外,你還可以從配置文件中找到應用所被賦予的運行權限。這些信息在后續的代碼簽名工作中都需要用到,因此你需要將它們提取到單獨的plist文件中,如下所示。
- $ security cms -D -i AwesomeRepackaging.mobileprovision > profile.plist
- $ /usr/libexec/PlistBuddy -x -c 'Print :Entitlements' profile.plist > entitlements.plist
- $ cat entitlements.plist
- <?xml version="1.0" encoding="UTF-8"?>
- <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
- <plist version="1.0">
- <dict>
- <key>application-identifier</key>
- <string>LRUD9L355Y.sg.vantagepoint.repackage</string>
- <key>com.apple.developer.team-identifier</key>
- <string>LRUD9L355Y</string>
- <key>get-task-allow</key>
- <true/>
- <key>keychain-access-groups</key>
- <array>
- <string>LRUD9L355Y.*</string>
- </array>
- </dict>
- </plist>
你還需要檢查一下生成的plist文件,看文件內容是否正確生成。
其中,應用標識(App ID)是由Team ID(LRUD9L355Y)以及Bundle ID(sg.vantagepoint.repackage)組合而成。此配置文件僅對使用該App ID的應用有效。 “get-task-allow” 鍵值也十分重要,當該鍵值設為“true”時,其他進程(如調試服務器)可以被允許附加到該應用程序上,因此,在分發配置文件中,需要將該鍵值設置為“false”。
其他的準備措施
要想讓我們的應用在啟動時加載一個附加庫,我們使用某些方法將一個附加加載命令插入到主執行文件的Mach-O頭中。我們使用optool來自動化完成這個步驟:
- $ git clone https://github.com/alexzielenski/optool.git
- $ cd optool/
- $ git submodule update --init --recursive
不使用Xcode的情況下,我們可以使用ios-deploy工具來完成應用的部署及調試。
- git clone https://github.com/phonegap/ios-deploy.git
- cd ios-deploy/
- git submodule update --init --recursive
你需要FridaGadget.dylib完成本文示例。
- $ curl -O https://build.frida.re/frida/ios/lib/FridaGadget.dylib
除了上述工具,我們還將使用OS X及XCode附帶的標準工具集,請確保你的環境中已安裝Xcode命令行開發者工具。
應用的修改、重新打包和重新簽名
IPA文件其實就是ZIP文件,因此我們可以解壓ipa包,將FridaGadget.dylib拷貝至app目錄,之后使用optool將load命令添加到“UnCrackable Level 1”這個應用中。
- $ unzip UnCrackable_Level1.ipa
- $ cp FridaGadget.dylib Payload/UnCrackable\ Level\ 1.app/
- $ optool install -c load -p "@executable_path/FridaGadget.dylib" -t Payload/UnCrackable\ Level\ 1.app/UnCrackable\ Level\ 1
- Found FAT Header
- Found thin header...
- Found thin header...
- Inserting a LC_LOAD_DYLIB command for architecture: arm
- Successfully inserted a LC_LOAD_DYLIB command for arm
- Inserting a LC_LOAD_DYLIB command for architecture: arm64
- Successfully inserted a LC_LOAD_DYLIB command for arm64
- Writing executable to Payload/UnCrackable Level 1.app/UnCrackable Level 1...
上述操作肯定會使主執行文件的代碼簽名無效,因此應用不能在非越獄設備上運行。你需要替換其中的配置文件,使用配置文件中列出的證書對主執行文件及FridaGadget.dylib進行簽名。
首先,我們向包中添加自己的配置文件:
- $ cp AwesomeRepackaging.mobileprovision Payload/UnCrackable\ Level\ 1.app/embedded.mobileprovision\
接下來,我們要確保Info.plist中的BundleID與配置文件中的BundleID一致。Codesign在簽名過程中會從Info.plist中讀取BundleID信息,兩者如果不一致將會導致應用簽名無效。
- $ /usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier sg.vantagepoint.repackage" Payload/UnCrackable\ Level\ 1.app/Info.plist
***,我們使用codesign工具來對修改過的應用重新簽名/
- $ rm -rf Payload/F/_CodeSignature
- $ /usr/bin/codesign --force --sign 8004380F331DCA22CC1B47FB1A805890AE41C938 Payload/UnCrackable\ Level\ 1.app/FridaGadget.dylib
- Payload/UnCrackable Level 1.app/FridaGadget.dylib: replacing existing signature
- $ /usr/bin/codesign --force --sign 8004380F331DCA22CC1B47FB1A805890AE41C938 --entitlements entitlements.plist Payload/UnCrackable\ Level\ 1.app/UnCrackable\ Level\ 1
- Payload/UnCrackable Level 1.app/UnCrackable Level 1: replacing existing signature
安裝及運行修改后的應用
一切準備就緒,你可以使用以下命令在設備上部署和運行經過修改后的應用。
- $ ios-deploy --debug --bundle Payload/UnCrackable\ Level\ 1.app/
如果一切順利,應用應該可以在附加IIdb的調試模式下在設備上啟動運行。Frida應該也可以正確加載到應用中運行,你可以使用frida-ps命令驗證這一點:
- $ frida-ps -U
- PID Name
- --- ------
- 499 Gadget
現在你可以使用Frida正常測試應用程序了。
故障排除
如果你在進行上述操作時發生錯誤,你可以檢查一下配置文件和代碼簽名頭是否正確匹配,通常的錯誤都是因為兩者不匹配導致的。這種情況下你可以參考Apple的官方文檔,了解整個系統的工作原理。另外,Apple的故障排除頁面也是一個不錯的參考資料。
