薛雪峰的网络日志

前言
iOS Hook UDID 验证

iOS Hook UDID 验证

几个月前有朋友想做一个 Fake UDID 的越狱插件,我就研究了一下,做了个插件。今天又有朋友问我类似的需求,我想还是直接写篇文章帮助有需要的人。

这个需求是这样的,有些 App (特别是企业签名的)在安装的时候会要求你先装一个描述文件来获取你手机的 UDID,然后用这个 UDID 来验证你的设备是否在他们的数据库里有记录,我们希望能够每次安装描述文件的时候都返回一个新的 Fake UDID 来迷惑 App 的服务器以为我们是新安装的机型。


这个功能同样可以满足另一个需求,就是你想要下载某个 ADHoc 签名的 App,但是你的设备并不在分发列表里,这时候你可以解析一下签名查看列表,然后在安装前验证 UDID 时返回一个列表内的 UDID。虽然越狱设备根本不需要搞这么麻烦。。。

我通过调试发现做这个验证的是 ManagedConfiguration 框架,进程名 profiled,框架中 MCHTTPTransaction 类的 data 字段就是发送给 UDID 请求网站的回调服务器的数据,包含 UDID 等数据,它使用 PKCS#7 签名。这个字段使用 NSString 无法正确解码,所以用 Objective-C 字符串的方式没办法编辑它。

我最初尝试直接返回未签名的 XML,在类似于 fir.im 这种没有做签名校验的网站是可以通过的,但是在 udid.io 这种做了签名校验的网站通不过。
所以我尝试找它的签名函数,也确实成功拿到了,但是没有找到计算和签名这个 data 字段的函数,故而条路放弃。

我尝试在 udid.io 被回调之前在 Charles 中修改掉 UDID 的值,该网站依然返回正确响应,这可以证明 XML 内容和签名是无关的。

因为无法解码,那么这样一来最简单的方式就是直接修改 HEX。响应体中 XML 里 UDID 元素的样式如下:

<key>UDID</key>\n\t<string>4194e4e27qdf84df725d487431fce8e11fd991</string>

那么我们可以先找到 <key>UDID</key>\n\t<string> 的位置,然后向后偏移 40(UDID 的长度)再检查是不是 </string>, 如果符合这种情况,就把中间的 UDID 替换掉。

直接贴代码吧,完整工程在

static short const kUDIDLength = 40;
static short const kPrefixLength = 25;
static short const kSuffixLength = 9;

/// <key>UDID</key>\n\t<string>
static uint8_t const kPrefix[kPrefixLength] = {
  0x3C, 0x6B, 0x65, 0x79, 0x3E, 0x55, 0x44, 0x49,
  0x44, 0x3C, 0x2F, 0x6B, 0x65, 0x79, 0x3E, 0x0A,
  0x09, 0x3C, 0x73, 0x74, 0x72, 0x69, 0x6E, 0x67,
  0x3E
};

/// </string>
static uint8_t const kSuffix[kSuffixLength] = {
  0x3C, 0x2F, 0x73, 0x74, 0x72, 0x69, 0x6E, 0x67, 0x3E
};

static NSString *generateRandomString(NSInteger length) {
    /// 总长度 40, 其中 25 位数字, 其他是字母. (其实网站并不会验证这个规则...)
    NSMutableString *randomizedText = [NSMutableString stringWithString:@"df9249d4418qe1e79c87d1a58fe4247434eff1d1"];
    NSString *buffer = nil;
    for (NSInteger i = randomizedText.length - 1, j; i >= 0; i--) {
        j = arc4random() % (i + 1);
        buffer = [randomizedText substringWithRange:NSMakeRange(i, 1)];
        [randomizedText replaceCharactersInRange:NSMakeRange(i, 1) withString:[randomizedText substringWithRange:NSMakeRange(j, 1)]];
        [randomizedText replaceCharactersInRange:NSMakeRange(j, 1) withString:buffer];
    }
    return [randomizedText copy];
}

static NSData *replacedUUIDData(NSData *data) {
    NSUInteger minLength = kSuffixLength + kUDIDLength + kSuffixLength;
    if (data.length <= minLength) {
        return data;
    }

    uint8_t *buffer = (uint8_t *)[data bytes];
    uint32_t bufferSize = 0;
    uint8_t *bufferBegin = buffer;
    uint8_t *bufferEnd = buffer + data.length;
    while (bufferBegin != bufferEnd && bufferSize < data.length) {
        if (0 == memcmp(bufferBegin, kPrefix, kPrefixLength)) {
            if (0 == memcmp(bufferBegin + kPrefixLength + kUDIDLength, kSuffix, kSuffixLength)) {
                NSString *fakeUDID = generateRandomString(40);
                HBLogDebug(@"Found UDID location, trying to replace it with %@", fakeUDID);
                strncpy((char *)bufferBegin + kPrefixLength, [fakeUDID UTF8String], kUDIDLength);
                break;
            }
        }
        ++bufferBegin;
        ++bufferSize;
    }
    
    return [NSData dataWithBytes:buffer length:data.length];
}

%hook MCHTTPTransaction

- (void)setData:(id)arg1 {
    %log;
    %orig(replacedUUIDData(arg1));
}

%end
作者

Vincent Sit

查看评论
上一篇

为 Ghost 博客添加 Archive 功能