diosra2’s blog

iOSの脱獄、ダウングレード

iOS 7のiBoot exploitをiPhone 5で試してみた。

xerub氏によるiBoot exploit (De Rebus Antiquis) を実際に使用して、iPhone 5で色々いじってみました。

前回書いたとおり、このexploitはiOS 8.0未満でないと利用できません。また、現在ではiPhone5,2のiOS 7.0.4でのみ使用可能となっています。

使用したもの

iPhone5,2

iOS 7.0.4 (脱獄済み) (実際はiOS 7.0.4のSHSH blobsがあればOK)

iloader

 

exploit

exploitをセットしたデバイスはこのように、一瞬ブラックアウトした後再度applelogoが表示され、リカバリーモード(iBoot)で停止します。

iOS 7のiBoot exploitexploit適用方法(要認証)

 

デバイスの中身はiOS 7.0.4なので、このまま紐付きブート(Just Boot or Tethered Boot)してみます。

 

Tethered Boot

iBootはPwnedなので未署名のコードを実行できます。

まず、この状態ではロードアドレスが0x84000000にセットされているようなのでirecoveryでPwnediBSSを送信してジャンプします。

次に、iOS 10.x (or 9.x??)のPwnediBECを送信、そこからiOS 7.0.4のPwnediBECにジャンプします。この手順を踏まないとディスプレイがブラックアウトしたままになります。(経由するiBootがiOS 9.xや10.xじゃないといけないのかどうかは不明)

このiBECはBootArgsに"-v"がセットされているので、起動時にVervose bootで起動します。

最後にAppleLogo、DeviceTree、Ramdisk、KernelCacheを送信しbootxします。

これでiOSが起動しました。

 

この技術を応用することで、理論上はSHSHなしのTethered Downgrade (紐付きダウングレード)は実装することができます。ただしiOS 7(.0.4)のSHSHが必要です。

(もし紐なし起動が実行できればSHSHなしの完全ダウングレードやiOS 9.3.5-10.3.3までの完全脱獄にも使用できるかも...。)

 

Copyright (C) 2017-2018 Diosra2. All Rights Reserved.