逆向解析iOS 14剪切板的ProbableWebURL逻辑
背景
iOS14 系统下,只要使用了[UIPasteboard generalPasteboard].string读取剪切板, APP顶部都会出现读取剪切板的提示。 为了保护用戶隐私(避免舆论⻛险), 可以使用iOS14 的新API来判断剪切板中的内容格式。 使用下面这两个 API 不会触发系统剪切板提示(但是也拿不到剪切板的具体内容):
- (void)detectPatternsForPatterns:(NSSet<UIPasteboardDetectionPattern> *)patte rns completionHandler:(void(^)(NSSet<UIPasteboardDetectionPattern> * _Nullabl e, NSError * _Nullable))completionHandler NS_REFINED_FOR_SWIFT API_AVAILABLE(i os(14.0));
- (void)detectPatternsForPatterns:(NSSet<UIPasteboardDetectionPattern> *)patte rns inItemSet:(NSIndexSet * _Nullable)itemSet completionHandler:(void(^)(NSArr ay<NSSet<UIPasteboardDetectionPattern> *> * _Nullable, NSError * _Nullable))co mpletionHandler NS_REFINED_FOR_SWIFT API_AVAILABLE(ios(14.0));
demo如下:
NSString *testStr = @"8-:/ Юt7hud";
[[UIPasteboard generalPasteboard] setString:testStr];
__block BOOL enablePasteboard = NO;
NSSet *patterns = [[NSSet alloc] initWithObjects:UIPasteboardDetectionPatternProbableWebURL, nil];
[[UIPasteboard generalPasteboard] detectPatternsForPatterns:patterns
completionHandler:^(NSSet<UIPasteboardDetectionPattern> * _Nullable result, NSError * _Nullable error) {
BOOL hasURL = [result containsObject:UIPasteboardDetectionPatternProbableWebURL];
if (!hasURL) {
enablePasteboard = NO;
}
enablePasteboard = YES;
}];
识别口令等场景下,我们可以自己使用上面detectPatternsForPatterns 的UIPasteboardDetectionPatternProbableWebURL参数,这样只有剪切板里有类似url格式时,我们才进一步处理口令,而其他格式的剪切板不会触发剪切板读取告警。
但是 UIPasteboardDetectionPatternProbableWebURL 这个参数,苹果文档没有严格的定义,存在如下几个正常和不正常的case:
// 正常匹配ProbableWebURL
testStr = @"8.:/ Юt7hud";
testStr = @"8-:/ Юt7hud";
testStr = @"3[得意]`:/ ⻓按复制此条消息,打开XXX,口令xxx";
// 匹配不了ProbableWebURL
testStr = @"8~:/ Юt7hud";
testStr = @"3 8`:/ ⻓按复制此条消息,打开XXX,口令xxx";
本文通过逆向苹果的UIPasteboardDetectionPatternProbableWebURL逻辑,来达到灵活配置口令的目的(即比较奇怪的口令也能被苹果识别成URL)。
逆向
具体逆向过程不写了。大概过程如下:
- 通过模拟器调试,调试并查找符号
detectPatternsForPatterns - 定位到和远程xpc调用有关,远程调用的方法是
requestPatternDetectionsFromPasteboardWithName - 调试发现是pasted进程在提供这个服务,用lldb调试该进程。
- 通过分析输入输出,最终确定是
PBProbableWebDataDetective类在处理这个识别逻辑。 - 逆向和分析
PBProbableWebDataDetective类,并翻译成oc代码。
最终找到如下核心函数,参数是剪切板板字符串,返回是匹配结果,转换的代码如下:
image-20211111182337694.png
其中核心的核心是 sub_100011D1C 函数,在其中判断字符串是否可能是url,完整翻译后可运行代码如下:
<script src="https://gist.github.com/ohswift/fb8a0ffd68335b95a5b59bc96e1856a1.js"></script>
逆向后的代码整体表现和系统pasted进程里的 PBProbableWebDataDetective 表现一致。如果有badcase的话,可以通过lldb pasted进程,手动调用数据进行调试:
# lldb -n '/Library/Developer/CoreSimulator/Profiles/Runtimes/iOS 14.1.simruntim e/Contents/Resources/RuntimeRoot/System/Library/PrivateFrameworks/Pasteboard.f ramework/Support/pasted'
断点并调试pasted进程:
(lldb) expr @import Foundation
(lldb) expr PBProbableWebDataDetective *$ddd = [PBProbableWebDataDetective new]
(lldb) expr -i0 -- (id)[$ddd detectedPatternValuesInValue:@"8~:/ Юt7hud"]
规则
根据逆向后的逻辑,更新可利用的口令规则:
-
:/ 前面,添加不包含(decimalDigitCharacterSet, punctuationCharacterSet, symbolCharacterSet)的字符,并且:/后面紧跟空格或者后面的字符中有 ? 或者 #
提供了如下可行规则和字符集:
eg: 8ඁ:/ Юt7hud :/后面是空格
eg: 8 ඁ:/索索?Юt7hud :/后面字符中有?
eg: 8 ඁ:/索索#Юt7hud= :/后面字符中有#
ඁ就是在decimalDigitCharacterSet, punctuationCharacterSet, symbolCharacterSet之外的一个字符,当然其他的还有很多:https://unicode-table.com/cn/0D81/
image.png
- 包含 c.om x.om n.et o.gr (.com等域名的简单混淆,可以看代码里的映射表) 等字符,可以识别为URL,不需要 :/ 规则
- 调试翻译出来的代码看是否还有其他可以潜在逻辑可以利用,代码逻辑比较绕。
