Cómo ejecutar iOS no oficial en dispositivos sin soporte

• Proyecto que explica en detalle el proceso técnico para ejecutar iOS 6 en un iPod touch de 3.ª generación, un dispositivo sin soporte oficial para esa versión
• Ejecuta una versión más nueva en hardware antiguo modificando y reconstruyendo componentes clave de iOS como DeviceTree, iBoot, Kernelcache, Restore Ramdisk y el Root Filesystem
• Usa scripts en Python para comparar y aplicar automáticamente las diferencias de DeviceTree entre el iPhone 3GS y el iPod touch 3, y recurre a parches de iBoot para omitir la verificación de firma de código
• Para regenerar el Kernelcache, utiliza la herramienta kcgen de macOS para integrar el kernel y los kext de armv7, eliminar símbolos innecesarios y aplicar compresión
• Tiene un alto valor técnico por ampliar el potencial del hardware antiguo y compartir técnicas de análisis interno de iOS y creación de firmware personalizado

Resumen de los componentes de iOS

• iOS está compuesto por iBoot, Kernelcache, DeviceTree, el sistema de archivos en espacio de usuario y firmware para coprocesadores, entre otros
  • iBoot es el cargador de arranque y existe en cuatro formas: iBSS, iBEC, LLB e iBoot
  • Kernelcache es un archivo que agrupa el kernel y las extensiones del kernel (kext) en un solo binario
  • DeviceTree define la configuración del hardware y los parámetros de funcionamiento del software, y iBoot lo modifica durante la ejecución
  • El sistema de archivos se divide en el restore ramdisk para instalación y el root filesystem para almacenamiento permanente

Pruebas con iPhone 3GS

• El iPhone 3GS y el iPod touch 3 usan SoC similares: S5L8920X / S5L8922X
• Como el iPhone 3GS sí tiene soporte oficial para iOS 6, se probó arrancar iOS 6.0 junto con el iBoot y el DeviceTree de iOS 5.1.1
• El problema principal fue la incompatibilidad del DeviceTree, ya que iOS 6 requiere nodos y propiedades nuevas como nvram-proxy-data

Modificación de DeviceTree

• Se creó un script en Python para calcular y aplicar las diferencias entre ambos DeviceTree
  • El script está publicado en el repositorio de SundanceInH2A
• La propiedad nvram-proxy-data debe incluir un volcado de NVRAM; si se deja vacía, el kernel se detiene en una fase temprana
• Al aplicarlo al iPod touch 3, primero se eliminaron las entradas exclusivas del iPhone y luego se aplicó el diff

Parches de iBoot

• De forma predeterminada se realizan bypass de la verificación de firma Image3, inyección de boot-args y parche debug-enabled
• nvram-proxy-data debe llenarse dinámicamente; usar un valor estático puede sobrescribir la NVRAM real
• Se reemplaza la llamada a UpdateDeviceTree() para insertar nvram-proxy-data y random-seed
• Se añade el argumento amfi=0xff para desactivar la firma de código
• En otras combinaciones de iBoot+kernel, es necesario revisar las diferencias del DeviceTree y la estructura de boot_args

Creación de Kernelcache

• Existían en builds internas el kernel de iOS 6 y los kext para iPod touch 3, pero para cargarlos al mismo tiempo fue necesario generar un prelinked kernelcache
• Se generó un kernelcache para armv7 usando la herramienta kcgen de macOS
  • Opciones principales: -arch armv7, -all-personalities, -strip-symbols, -uncompressed
  • Tras eliminar símbolos innecesarios, se convirtió a un único slice con lipo -thin armv7
• El kernelcache generado se comprimió y luego se empaquetó en un contenedor Image3
• La lista de kext se armó comparando iOS 5.1.1 e iOS 6.0 del iPhone 3GS, y fue necesario modificar el Info.plist del kext de Wi‑Fi

Modificación de Restore Ramdisk

• Se aplicó un parche a asr y se cambió options.n88.plist por options.n18.plist para ajustar la distribución de particiones
• Para instalar el exploit de iBoot, se reimplementó el binario rc.boot
  • Remontaje del ramdisk y configuración de umask
  • Llamada a restored_external -server para restaurar sin reiniciar al finalizar
  • Al completar la restauración, se crea una tercera partición, se escribe el exploit, se configura boot-partition en 2 y luego se reinicia

Modificación de Root Filesystem

• Se añadió /System/Library/CoreServices/SpringBoard.app/N18AP.plist e incorporaron funciones de iOS 6
• Se fusionó la configuración de la pantalla de inicio de iOS 5.1.1 con la del iPod touch 4
• Se agregaron firmwares de Multitouch, Wi‑Fi y Bluetooth
  • En Bluetooth, el valor hardcodeado de /usr/sbin/BlueTool se sobrescribió con /etc/bluetool
• Al eliminar la clave LimitLoadToHardware del daemon FairPlay, también pudo habilitarse en el iPod touch 3
• En iOS 6.1 o superior se requieren parches adicionales por la caché de firmas de LaunchDaemon
• Se modificó el mapa de Product ID: se reemplazó 0x2714 del iPhone 3GS por 0x2715 del iPod touch 3
• Se modificó getDeviceVariant() de MobileGestalt para que siempre devolviera "A"
• Al modificar la caché compartida de DYLD, es posible restaurar la firma de código recalculando el hash SHA-1

Exploit de iBoot

• Se reescribió un exploit basado en un bug del controlador HFS+ de iOS 5
• Se mejoró para que fuera más determinista que versiones anteriores

Conclusión y planes futuros

• El trabajo completo no resultó tan difícil como se esperaba y, tras publicar las herramientas, hubo muchas consultas relacionadas con el jailbreak
• Existe la posibilidad de hacer jailbreak de forma sencilla con parches de kernel e instalación de Cydia
• El siguiente objetivo es probar la ejecución de iOS 6 en el iPad 1
• Este proyecto aporta una referencia práctica para analizar la estructura interna de iOS y reutilizar dispositivos antiguos