中午吃完飯，看到一個(gè)微博中別人轉(zhuǎn)的央視新聞《別被改裝充電寶盜取隱私》覺(jué)得又是啥高大上的東西上了央視，看完后才知道是數(shù)字公司的某研究員做的偽裝充電寶盜取隱私的玩意。

心里豁然開(kāi)朗，原來(lái)這玩意也可以上央視啊!那么問(wèn)題來(lái)了: 這玩意都應(yīng)用到了哪些技術(shù)，并且那個(gè)防護(hù)神器又是怎么實(shí)現(xiàn)的?我們這些天天寫腳本的能玩不?還是需要那些玩二進(jìn)制的牛人幫忙才能完成呢?

那么下面我給大家介紹一種方法，揭秘攻擊者是如何低成本快速打造一個(gè)偽造的充電寶的，以及我們?cè)撊绾畏烙?。主要是IOS系統(tǒng)，至于Android的方法我想滿大街都是吧這里就不說(shuō)了，以后說(shuō)不定會(huì)在博客中寫下。至于用途嗎不關(guān)你是進(jìn)行物理社工還是什么的就自由發(fā)揮，本文所提技術(shù)并不局限于“充電寶” ，不費(fèi)話了進(jìn)入正題。

原理分析

首先，我們來(lái)分析下在不了解已有技術(shù)情況下假設(shè)要從零開(kāi)始做起，我們是怎么分析和設(shè)計(jì)這個(gè)東西?我估計(jì)大多數(shù)人第一個(gè)想到的應(yīng)該是iTunes , 蘋果手機(jī)管理的配套軟件，因?yàn)樵谒锩嬗袀€(gè)功能是備份數(shù)據(jù)用的，即使刷機(jī)后，只要恢復(fù)下數(shù)據(jù)那么所有的通訊錄，短信，甚至上網(wǎng)信息等等都會(huì)被恢復(fù)回去，二進(jìn)制牛如果看到了應(yīng)該會(huì)說(shuō)逆下iTunes分析下它通訊協(xié)議不就完事了。

嗯，確實(shí)可以實(shí)現(xiàn)奈何我們腳本小子操起IDA跟看天書的應(yīng)該差不多，不過(guò)這里有一點(diǎn)說(shuō)的對(duì)，那就是通訊協(xié)議。如果我們能夠模擬iTunes協(xié)議，告訴iPhone我需要給你備份數(shù)據(jù)，那么按照它的接受協(xié)議把數(shù)據(jù)copy到存儲(chǔ)單元不就ok了。至于它怎么去打包那些數(shù)據(jù)，根據(jù)它打包的方式解包不就還原所有數(shù)據(jù)了。上面我們分析的是如何把數(shù)據(jù)從手機(jī)拿到存儲(chǔ)單元，那么和充電寶又有什么關(guān)系? 看過(guò)那個(gè)視頻的應(yīng)該注意到，手機(jī)查到充電寶上面會(huì)提示 “是否信任此電腦” ?；叵胂?，我們自己充電的時(shí)候是否會(huì)提示?那么在什么情況下會(huì)提示?

是的，在手機(jī)數(shù)據(jù)線插到別人電腦上面的時(shí)候會(huì)提示!這里我們?cè)诜治鱿拢谡３潆妼毶虾碗娔X上面為什同為USB，一個(gè)提示一個(gè)卻不提示，為后面的防御做個(gè)鋪墊。

我們先看下下圖：

[[123647]]

圖是網(wǎng)上找來(lái)的， 其中黃色部分為四個(gè)usb里面的觸點(diǎn)， 其中1，4 從圖中可以看到是正負(fù)極(雖然只有+，-號(hào))，2，3 是 “D+ 和D-” 是什么呢?其實(shí)就是data+ 和 data- 數(shù)據(jù)信號(hào)的輸入和輸出。其實(shí)從這張圖上也能猜到為什么正常充電寶不會(huì)提示，而插到陌生電腦上會(huì)提示。因?yàn)樵谀吧娔X上面data+和data-上面產(chǎn)生了數(shù)據(jù)信號(hào)，所以導(dǎo)致iPhone會(huì)進(jìn)行詢問(wèn)是否應(yīng)該信任此設(shè)備以進(jìn)行數(shù)據(jù)交互，下面看看如何快速實(shí)現(xiàn)。#p#

設(shè)計(jì)實(shí)現(xiàn)

上面原理分析了那么多，還是沒(méi)有進(jìn)入核心部分 “ 如何快速制造” 估計(jì)罵街的已經(jīng)開(kāi)始了….

所需材料：

1. 樹(shù)莓派 (raspberry pi) 一枚

2. 大號(hào)鋰電池(至于多大，看你想要多大容量的充電寶)

3. 充電器(為啥要這個(gè)?充電寶要充電唄)

4. 小燈 led小燈 3-4 枚 (充電寶充電閃爍效果)

上面這些東西怎么組合? 樹(shù)莓派USB 對(duì)外供電， 鋰電池給樹(shù)莓派供電，充電器拆了(里面的東西)給鋰電池充電，至于led小燈，接樹(shù)莓派GPIO口。讓樹(shù)莓派閃爍小燈的教程網(wǎng)上應(yīng)該也是一大把了，這里就不詳述了請(qǐng)自行查詢。

其實(shí)樹(shù)莓派就是一個(gè)ARM平臺(tái)上面可以跑跑Linux， 大家最關(guān)心的應(yīng)該都是在ARM平臺(tái)上面的Linux怎么模擬數(shù)據(jù)讓iPhone把備份數(shù)據(jù)給存儲(chǔ)到樹(shù)莓派上面的存儲(chǔ)器?？吹缴厦娴姆治龉烙?jì)很多人心里不自在了，都說(shuō)了腳本小子為什么又扯到上面的分析，難道又要讓我們逆向iTunes了。當(dāng)然不是了，既然我們能想到模擬數(shù)據(jù)難道就沒(méi)有人做過(guò)?是的，你又一次猜對(duì)了，由開(kāi)源實(shí)現(xiàn)

libimobiledevice , 這就是我們今天的主角，看看它介紹(官方介紹)：

libimobiledevice is a cross-platform software library that talks the protocols to support iPhone®, iPod Touch®, iPad® and Apple TV® devices. Unlike other projects, it does not depend on using any existing proprietary libraries and does not require jailbreaking. It allows other software to easily access the device's filesystem, retrieve information about the device and it's internals, backup/restore the device, manage SpringBoard® icons, manage installed applications, retrieve addressbook/calendars/notes and bookmarks and (using libgpod) synchronize music and video to the device. The library is in development since August 2007 with the goal to bring support for these devices to the Linux Desktop.

上面啰嗦了那么多E文其實(shí)就是說(shuō)它不依賴于第三方庫(kù)，跨平臺(tái)的實(shí)現(xiàn)了iPhone，iPod Touch, Ipad等蘋果設(shè)備的通訊協(xié)議。

在樹(shù)莓派上面怎么編譯可以看這里所需依賴

https://github.com/libimobiledevice/libimobiledevice

編譯后有它的動(dòng)態(tài)庫(kù)，可以根據(jù)它的文檔自己實(shí)現(xiàn)想要的功能，不過(guò)對(duì)于僅僅只是需要“竊取”隱私數(shù)據(jù)，其實(shí)自帶的tools目錄中的工具就已經(jīng)夠用了，在看編譯完后的工具都長(zhǎng)什么樣(圖片演示均為筆記本上面的libimobile):

可以看到編譯后tools目錄自帶的這些小工具，比較顯眼的幾個(gè):

idevice_id 獲取已連接設(shè)備ID， idevice_id -l

idevicebackup ios較低版本用來(lái)備份數(shù)據(jù)的工具

idevicebackup2 ios新版本備份數(shù)據(jù)工具

idevicesscreenshot 從名字就能看出來(lái)是屏幕截圖

idevicesyslog 實(shí)時(shí)顯示log信息的，跟adb logcat 一樣

ideviceinfo 設(shè)備信息

.... 其他的看名字基本就知道大概了

好了，我們直接上主角吧，idevicesbackup2。在當(dāng)前目錄建立文件夾bak，當(dāng)然你愿意放在那里都行只是用來(lái)存儲(chǔ)備份數(shù)據(jù)的。usb連接電腦和手機(jī)(不是說(shuō)好的充電寶么，好吧…沒(méi)啥差吧^_^)

輸入命令:

idevicebackup2 backup ./bak

如果沒(méi)有配置環(huán)境變量就給idevicebackup2 指定當(dāng)前目錄./

運(yùn)行過(guò)程如下圖所示:

運(yùn)行結(jié)束后在bak目錄下會(huì)生成一個(gè)由字符串組成的目錄，打開(kāi)我們可以看到一堆不太能夠容易理解的文件，其實(shí)這些就是備份經(jīng)過(guò)處理的數(shù)據(jù)，如果所示：

那么拿到這些數(shù)據(jù)有什么用？別著急，既然能拿到肯定有辦法解包還原數(shù)據(jù)。#p#

輸入命令:

ideivcesbackup2 unpack ./bak

命令執(zhí)行完后我們就可以看到bak目錄下多了一個(gè)_unpack_目錄，看看里面有些什么吧。

由于層級(jí)太多只顯示了3級(jí)目錄，不過(guò)我們先找找數(shù)字公司演示的照片是在什么地方存儲(chǔ)的可以在var/mobile/Media/DCIM 目錄中看到這里存儲(chǔ)的都是個(gè)人相機(jī)拍的照片和視頻(沒(méi)拍攝過(guò)所以里面木偶有顯示~)如下圖：

僅僅只能拿到相片么? 其實(shí)細(xì)心的讀者肯定都看到了Keychains 就應(yīng)該知道這玩意是啥了。好了再看看能獲取到其他信息不? 比如safari或者其他APP的本地遺留數(shù)據(jù)，例如cookie 、 聊天記錄? 看看var/mobile/library下面的sms和cookie信息：

我不會(huì)告訴你 var/mobile/Applications 全部是應(yīng)用的備份文檔信息里面包含的賬戶密碼，聊天信息等。這里就不看了，太尼瑪冷了，得進(jìn)被窩了…

防御措施

這會(huì)再看結(jié)合USB的那個(gè)圖你應(yīng)該知道兩種防御方法了吧?

1. 提示信任信息的時(shí)候如果是充電寶，堅(jiān)決選NO

2. 也就是數(shù)字公司的“防御神器”切掉USB的data數(shù)據(jù)(猜測(cè)數(shù)字公司這么干的)

哎，好久沒(méi)寫文章了有點(diǎn)手生，寫了快一個(gè)小時(shí)就到此打住了，寫著文章沒(méi)有任何惡意，只是想分享一些東西，認(rèn)識(shí)我的人都知道我很樂(lè)意分享所掌握的知識(shí)并且是無(wú)條件的。你會(huì)問(wèn)為啥從始至終都沒(méi)有看到你的“充電寶”，額沒(méi)錢買唄，哈哈…

版權(quán)信息原創(chuàng)作品FreeBuf獨(dú)家首發(fā)，我博客都還沒(méi)發(fā)布

weibo: @creturn

blog: www.creturn.com