Roothide Bootstrap

Dopamine 이후로 arm64e 단말기(iPhone X 이후 기종)에 대한 탈옥툴이 나오고 있지 않은 가운데,

탈옥툴은 아니지만 앱에서 tweak이 작동하게끔 하는 Bootstrap 이라는 툴이 RootHide 에 의해 공개되었습니다. (https://github.com/RootHide/Bootstrap)

GitHub - RootHide/Bootstrap: A full featured bootstrap for ios14.0~17.0 (A8~A17,M1+M2)

 

탈옥툴은 아니지만, 탈옥의 주요 목적이 tweak injection 이므로 탈옥단말기와 비슷한 환경을 갖출 수 있습니다.

보안을 하는 입장에서는 tweak 을 통해 앱 동작을 조사할 수 있으므로 좋은 소식이 아닐 수 없습니다. 😃

 

Bootstrap 은 TrollStore 설치 가능한 단말기에서 tweak 이 작동하도록 해줍니다. (TrollStore 설치 가능 단말기: https://ios.cfw.guide/installing-trollstore/)

 

Bootstrap.tipa 파일을 TrollStore로 설치해줍니다. (직접 빌드하거나, https://github.com/Baw-Appie/RootHideBootstrap/releases/tag/release 에서 빌드된 .tipa 파일을 다운로드 받을 수 있습니다)

 

 

그리고 우선 sileo 에서 ellekit 을 설치해줘야합니다.
그 후, AppEnabler 에서 앱별로 트윅 활성화를 해줄수 있습니다.

카카오페이앱에 트윅 활성화를 해봤습니다.

 

 

트윅 활성화를 하면 앱을 rebuild 하게 되는데요, 다음과 같은 현상이 발생하게 됩니다.

원본앱이 .backup 에 백업되고, 변조앱이 .app 에 위치하게 됩니다.

 

 

패치된 바이너리를 살펴볼 경우 .prelib 가 LC_LOAD_DYLIB 에 인젝션되어 있습니다.

 

 

따라서, 솔루션이 강하게 적용된 앱의 경우에는 무결성 탐지를 우회해줘야 합니다. 보통 탈옥탐지 우회보다 까다롭습니다.

카카오페이앱은 역시 무결성 탐지를 하고 있군요.

 

 

트윅은 roothide 용으로 빌드해줘야 합니다. (https://github.com/RootHide/Developer)

테스트결과 C function, address 후킹 정상적으로 작동하였으며, frida 도 정상 작동하였습니다.