iOS 16.1.2以下で使用可能なExploitが公開、更に実際にExploitを利用したPoCアプリもリリースされる

元々Mac向けとして情報が公開されていた脆弱性について、iOSでも利用可能であるとの報告が行われています。
また、既にiOS向けPoCアプリもリリースされており、実際に試すことが出来る状況に…！？

CVE-2022-46689

【CVE-2022-46689】…【MacDirtyCow】とも呼ばれる脆弱性がmacOS Ventura 13.1にて修正が入り、修正後より一部開発者さんの間で話題になっていました。
PoC（概念実証）として「MacDirtyCowDemo」などのExploitも公開されている脆弱性であり、なかなか面白い事が出来たりします。

Macで使用した際の解説では、例えばrootユーザーへパスワード無しで昇格することが可能であったり、任意のファイルを上書きすることが出来るとのこと。

ただし、ファイルの上書きに関してはデバイス再起動を行うと元に戻るため、あくまで一時的となります。とはいえ、一時的にでも任意のファイルを書き換えられてしまうのは…ビビる。

iOSでも使えちゃった

元々はMac向けの解説やPoCが公開されていたのですが、こちらの脆弱性・Exploitは…iOSでも利用可能であることが判明。

ちなみに、脆弱性【CVE-2022-46689】はiOS 16.2 / 15.7.2で修正が入っていますので、使用可能なバージョンは【iOS 15.7.1以下＆ iOS 16.0〜16.1.2】という事になります。

iOS向けPoCアプリが公開される

iOSでも利用できる事が判明した後、【TrollLock Reborn】というiOS向けPoCアプリがリリース。
「Troll」という名称が付いていますが、TrollStoreとは関係なく、あくまで上記のExploitを利用して動作するアプリとなっています。

ロックアイコンを変更

あくまでPoCアプリなため出来ることは限られているのですが、iOS 15.0〜15.7.1 / iOS 16.0〜16.1.2環境にて、未脱獄の状態でロックアイコンを変更することが出来ます。
名前にTrollと付いていると通り、TrollFaceのアイコンに変更されるわけですが…実際に使ってみるとこんな感じ。

謎にヌルヌル動くアニメーションで気持ちが悪い…のですが、未脱獄状態であってもきちんとロックアイコンが変更されています。

release-cve-2022-46689-macdirtycow-exploit-and-poc-trolllock-reborn-for-ios-2

デバイス再起動でもとに戻る

本脆弱性の制限である「デバイスを再起動すると元に戻る」という部分はiOSでも同様なため、今回の変更点はデバイスを再起動すると純正のロックアイコンに戻る様になっています。
そのため、あくまで一時的な変更が可能ということです。

使い方も簡単

＊あくまでPoCアプリであり、安全性などは担保されておらず、使用は非推奨です＊

ご使用はオススメしませんが、使用の流れについて記しておきたいと思います。
【Releases · haxi0/TrollLock-Reborn】よりTrollLock RebornのIPAファイルをダウンロードし、AltStoreなどからインストールを行います。

インストールされたTrollLock Rebornアプリをホーム画面から起動し「Start」ボタンを選択。更に、選択肢より「Let’s do this!」を選択。

release-cve-2022-46689-macdirtycow-exploit-and-poc-trolllock-reborn-for-ios-3

release-cve-2022-46689-macdirtycow-exploit-and-poc-trolllock-reborn-for-ios-4

どのファイルを書き換えるか？という選択肢が出現するので、使用しているデバイスに合ったファイルを選択してあげます。

release-cve-2022-46689-macdirtycow-exploit-and-poc-trolllock-reborn-for-ios-5

選択後に数秒経つとアプリが閉じられホーム画面へ戻されるので、改めてTrollLock Rebornアプリを起動し「Start」をタップ。
最後に「Respring」を選択してデバイスをリスプリングしてあげると…変更が適用されているはずです。
（何度か作業を繰り返さないと反映されない場合があるので、この点は注意が必要です）

release-cve-2022-46689-macdirtycow-exploit-and-poc-trolllock-reborn-for-ios-6

ちなみに

ちなみに、iPhone 14 Proなども対応しているのですが、実際に使ってみると…私の環境ではうまく動作しませんでした。
ファイルの書き換え作業自体は動作している様で、純正のロックアイコンは消えるものの…TrollFaceアイコンが出てこない…という状況でした。

この辺りは今後のアップデートなどで修正が入るのかなと思います。

release-cve-2022-46689-macdirtycow-exploit-and-poc-trolllock-reborn-for-ios-7

脱獄には使えるの？

気になるのは「脱獄には使えるのか？」という部分かと思いますが、現時点では可能性は低そうです。

一般的に脱獄にはカーネル権限を取得できる脆弱性・Exploitなどが必要とされますが、本脆弱性に関してAppleは「カーネル権限で任意のコードを実行できる可能性がある」としているものの、現時点で公開されている解説では「その方法は不明である」とされています。

〆〆

仮に今回の脆弱性・Exploitが今後発展するとすれば、TrollStoreにより可能になった様な一部脱獄アプリ機能の移植…みたいな事なのかなと思われます。
ただ、TrollStore自体のiOS 16.1.2以下対応が来るなどという事ではないと思われますので、この点は十分に注意が必要です。

名前:匿名 : 投稿日：2022/12/25(日) 22:25:06 返信

Troll Faceが動いた…！！！

名前:匿名 : 投稿日：2022/12/25(日) 22:28:29 返信

16.1.2に上げておいてよかった…まだ脱獄できるようになったわけではないけど

名前:匿名 : 投稿日：2022/12/25(日) 22:35:33 返信

これホームボタン系のデバイス(SE2)とかだったらどれ選べばいいの？

名前:匿名 : 投稿日：2022/12/26(月) 00:30:13 返信

こちらse3、どれ選んでもクラッシュします
どうぞ

名前:匿名 : 投稿日：2022/12/25(日) 22:49:17 返信

つまりシャッター音のファイルを上書きすれば音を消せる…ってコト！？

名前:匿名 : 投稿日：2022/12/26(月) 04:32:12 返信

それ思った
名前:あ : 投稿日：2022/12/26(月) 07:48:02 返信

それ、昔からの手法の一つですよ。

名前:TrollLocker : 投稿日：2022/12/25(日) 23:13:21 返信

ipaファイルの直リンクURLください。

名前:SANTA@管理人 : 投稿日：2022/12/25(日) 23:15:52 返信

記事中のリンク先にアクセス後、「Asset」を開くとIPAファイルのダウンロードリンクが出現します。
ただし、記事中にもあります通り、あくまでPoCなのでご使用は非推奨となります。十分にご注意ください。
- 名前:TrollLocker : 投稿日：2022/12/28(水) 11:03:40 返信
  
  ありがとうございます。
  因みに私はiOS 15.5 Beta 4待機組なのですが、今後の脱獄可能性にかけて、このままこのバージョンで待機しとくしかないでしょうか？
  - 名前:SANTA@管理人 : 投稿日：2022/12/30(金) 02:17:37 返信
    
    以前から言われている通り、基本的には可能な限り下のバージョンで待機…が推奨されるとは思います。

名前:匿名 : 投稿日：2022/12/25(日) 23:19:18 返信

A12以降の脱獄可能性が広がりますか？

名前:匿名 : 投稿日：2022/12/25(日) 23:22:13 返信

記事よく読もうね

名前:葵 : 投稿日：2022/12/26(月) 08:53:52 返信

本家でもpasswd書き換え以外にも二つroot奪取あるから、上手いこと面白い展開には、転ぶのかな..?

名前:匿名 : 投稿日：2022/12/26(月) 10:55:41 返信

もし今後パーツになるとしたら16.3で修正が良かったなぁ。iPadOS16.2でステージマネージャーが外部ディスプレイに対応したから、脱獄でHypervisor使えるようになったらiPadがノートPCとして使えるようになったのに

名前:匿名 : 投稿日：2022/12/26(月) 17:16:24 返信

ホームバーとシャッター音が消せたらめっちゃ嬉しい
続報に期待していいんです？

名前:匿名 : 投稿日：2022/12/26(月) 18:29:33 返信

MacDirtyCowを使った、フォント変更(デモ)アプリも出ましたね

名前:匿名 : 投稿日：2022/12/26(月) 19:38:39 返信

どこにあるか教えてください
- 名前:匿名 : 投稿日：2022/12/26(月) 22:49:04 返信
  
  https://tools4hack.santalab.me/release-wdbfontoverwrite-macdirtycow-exploit-ios15-ios1612.html

名前:匿名 : 投稿日：2022/12/26(月) 18:46:33 返信

頑張れば、Filza的なものもできそうな気がする。

名前:匿名 : 投稿日：2022/12/25(日) 22:25:06 返信

Troll Faceが動いた…！！！
名前:匿名 : 投稿日：2022/12/25(日) 22:28:29 返信

16.1.2に上げておいてよかった…まだ脱獄できるようになったわけではないけど
名前:匿名 : 投稿日：2022/12/25(日) 22:35:33 返信

これホームボタン系のデバイス(SE2)とかだったらどれ選べばいいの？
- 名前:匿名 : 投稿日：2022/12/26(月) 00:30:13 返信
  
  こちらse3、どれ選んでもクラッシュします
  どうぞ
名前:匿名 : 投稿日：2022/12/25(日) 22:49:17 返信

つまりシャッター音のファイルを上書きすれば音を消せる…ってコト！？
- 名前:匿名 : 投稿日：2022/12/26(月) 04:32:12 返信
  
  それ思った
- 名前:あ : 投稿日：2022/12/26(月) 07:48:02 返信
  
  それ、昔からの手法の一つですよ。
名前:TrollLocker : 投稿日：2022/12/25(日) 23:13:21 返信

ipaファイルの直リンクURLください。
- 名前:SANTA@管理人 : 投稿日：2022/12/25(日) 23:15:52 返信
  
  記事中のリンク先にアクセス後、「Asset」を開くとIPAファイルのダウンロードリンクが出現します。
  ただし、記事中にもあります通り、あくまでPoCなのでご使用は非推奨となります。十分にご注意ください。
  - 名前:TrollLocker : 投稿日：2022/12/28(水) 11:03:40 返信
    
    ありがとうございます。
    因みに私はiOS 15.5 Beta 4待機組なのですが、今後の脱獄可能性にかけて、このままこのバージョンで待機しとくしかないでしょうか？
    - 名前:SANTA@管理人 : 投稿日：2022/12/30(金) 02:17:37 返信
      
      以前から言われている通り、基本的には可能な限り下のバージョンで待機…が推奨されるとは思います。
名前:匿名 : 投稿日：2022/12/25(日) 23:19:18 返信

A12以降の脱獄可能性が広がりますか？
- 名前:匿名 : 投稿日：2022/12/25(日) 23:22:13 返信
  
  記事よく読もうね
名前:葵 : 投稿日：2022/12/26(月) 08:53:52 返信

本家でもpasswd書き換え以外にも二つroot奪取あるから、上手いこと面白い展開には、転ぶのかな..?
名前:匿名 : 投稿日：2022/12/26(月) 10:55:41 返信

もし今後パーツになるとしたら16.3で修正が良かったなぁ。iPadOS16.2でステージマネージャーが外部ディスプレイに対応したから、脱獄でHypervisor使えるようになったらiPadがノートPCとして使えるようになったのに
名前:匿名 : 投稿日：2022/12/26(月) 17:16:24 返信

ホームバーとシャッター音が消せたらめっちゃ嬉しい
続報に期待していいんです？
名前:匿名 : 投稿日：2022/12/26(月) 18:29:33 返信

MacDirtyCowを使った、フォント変更(デモ)アプリも出ましたね
- 名前:匿名 : 投稿日：2022/12/26(月) 19:38:39 返信
  
  どこにあるか教えてください
  - 名前:匿名 : 投稿日：2022/12/26(月) 22:49:04 返信
    
    https://tools4hack.santalab.me/release-wdbfontoverwrite-macdirtycow-exploit-ios15-ios1612.html
名前:匿名 : 投稿日：2022/12/26(月) 18:46:33 返信

頑張れば、Filza的なものもできそうな気がする。