KTRRバイパス – よくある質問（と回答）

ARM64eデバイス向けのKTRRバイパスの出現は、答えよりも多くの疑問を提起しています。何が起こっているのか、そしてこれが近いうちに脱獄につながるのかどうか疑問に思っている方は、ぜひこの記事をご覧ください。

iDBでは、高度な情報を分かりやすい言葉で分かりやすく解説し、iPhoneやiPadの一般ユーザーでも理解しやすいように努めています。本日もその伝統を引き継ぎ、KTRRバイパスに関する詳細なよくある質問（FAQ）記事を掲載します。

最新の開発があなたにとって、そして iPhone のジェイルブレイクの将来にとって何を意味するのか理解しようと奮闘しているなら、ここで答えが見つかるかもしれません。

KTRR バイパスとは何ですか?

KTRRバイパスとは何かを理解するには、まずKTRRとは何かを理解する必要があります。KTRRは「Kernel Text Read-only Region（カーネルテキスト読み取り専用領域）」の略です。

この名前が特に示唆しているのは、それが「読み取り専用」であるはずのカーネルメモリの一部であるということです。著名なセキュリティ研究者Siguza氏のブログ記事によると、AppleはA10チップからこのメカニズムを実装し、実行時にiOSカーネルへの不正な変更を防ぎ、システムの整合性を維持しています。たとえ攻撃者がカーネルエクスプロイトを隠し持っていたとしてもです。

KTRRバイパスは、前述のメカニズムを単にバイパスするだけです。そのため、攻撃者はカーネルメモリのこの特定の領域の「読み取り専用」状態を回避し、Appleが導入したセキュリティ対策に関わらず、書き込み可能にすることで、好きなように変更を加えることができます。

つまり、KTRR バイパスにより、攻撃者は Apple の KTRR 保護を回避し、カーネル メモリを自由に操作できるようになります。

最近、KTRR バイパスについてよく耳にするのですが、なぜでしょうか?

今のところご存知ない方のためにご説明しますと、カスペルスキーのセキュリティ研究者 Boris Larin ( @oct0xor )、Leonid Bezvershenko ( @bzvr_ )、および Georgy Kucherin ( @kucher1n ) は、脱獄開発者が特定のファームウェアとデバイスの組み合わせ用の脱獄ツールを作成するために使用できる KTRR バイパスを認識しており、リリースする予定です。

上記のセキュリティ研究者たちは最近、37c3カンファレンスで研究成果を発表し、披露しましたが、まだ論文は公開されていません。しかし、近い将来、状況は変わるはずです。

KTRR バイパスはどのようなファームウェアとデバイスをサポートしますか?

このKTRRバイパスは、特にA12～A16チップを搭載したarm64eデバイスをサポートします。M1およびM2チップも影響を受けます。A17チップもサポートされる可能性がありますが、これはまだ確認されておらず、しばらくは未確認のままになる可能性があります。

Arm64e デバイスには、iPhone XS から iPhone 15 Pro Max までが含まれます。現時点では iPhone XS から iPhone 14 Pro Max デバイスのサポートが確認されていますが、iPhone 15 シリーズがサポートされるかどうかは待って確認する必要があります。

ファームウェアに関しては、ここがすぐに混乱を招く部分です。以下で詳しく説明しましょう。

KTRRバイパスは、iOSおよびiPadOS 16.5.1以前であれば、カーネルの単純な読み書き権限があればすぐに利用できます。この状況でKTRRバイパスを動作させるには、今や有名になったカーネルファイル記述子（KFD）エクスプロイトなどのカーネルエクスプロイトで十分です。

注目すべき点として、kfdはiOS & iPadOS 16.5までしかサポートしておらず、16.5.1はサポートしていないため、後者には別途カーネルエクスプロイトが必要になります。そのため、iOS & iPadOS 16.5以前のarm64eデバイス向けのジェイルブレイクは間もなく実現すると思われますが、iOS & iPadOS 16.5.1向けのジェイルブレイクは、それをサポートする別のカーネルエクスプロイトが登場するまでは実現しないかもしれません。

iOS 16.6以降を含むさらに新しいファームウェアでは、KTRバイパスに加えて、脱獄を実現するために追加の要素も必要です。これらの要素には、別のカーネルエクスプロイト、PPL（ページ保護層）バイパス、PAC（ポインタ認証コード）バイパスなどが含まれる場合がありますが、その他の攻撃チェーンコンポーネントも必要になる場合があります。

具体的には、iOS 16.6～16.x でサポートされている arm64e デバイスで KTRR バイパスを使用するには、カーネルエクスプロイトと PPL バイパスが必要です。iOS 17.x では、A12～A14 および M1～M2 チップ搭載デバイスでも、カーネルエクスプロイトと PPL バイパスのみが必要です。新しい A15～A16（サポートされている場合は A17 も）チップ搭載デバイスでは、カーネルエクスプロイトと SPTM（Secure Page Table Monitor）バイパスが必要です。

その結果、iOS & iPadOS 16.5.1 以降を実行している arm64e デバイスの脱獄はすぐには発生しませんが、前者とは関連のない後者の PPL バイパス要件により、iOS & iPadOS 16.5.1 での脱獄は、iOS & iPadOS 16.6 以降での脱獄よりも短期的には発生する可能性が高いと思われます。

繰り返しますが、このKTRRバイパスはarm64eデバイス（A12～A16、場合によってはA17）のみを対象としています。iPhone X以前を含む古いarm64デバイスは影響を受けません。また、これらのデバイスには既にパッチ適用不可能なcheckm8ブートROMエクスプロイトが組み込まれているため、影響を受ける必要もありません。

分かりましたか？デバイスとファームウェアの種類が多く、それぞれに前提条件があるため、少し分かりにくいかもしれません。でも、ゆっくり読んで、あと1、2回くらい読めば、いずれ理解できるようになります。

バイパスって何ですか？

かつて、脱獄開発者は単純なカーネルエクスプロイトを使ってカーネルの読み書き機能を実現するだけで済みました。AppleはiPhoneとiPadのセキュリティをバージョンアップごとに強化し続けており、簡単にハッキングできる時代は終わりました。

Appleが次々と新しい応急処置を施し、深刻な問題に対処しようとしているため、こうしたバイパス技術が次々と登場しています。こうした応急処置によって攻撃者がその下にある脆弱性に手を出すのは困難ですが、不可能ではありません。皆さんが耳にするバイパス技術は、どれもこうした応急処置をうまく回避した例と言えるでしょう。

KTRR バイパスはカーネル エクスプロイトと同じですか?

これは一部の人には明らかなように思えるかもしれませんが、そうでない人もいるかもしれません。KTRRバイパスはAppleシステムのセキュリティ脆弱性ですが、カーネルエクスプロイトとは異なります。実際、KTRRバイパスは、望ましい結果（通常は脱獄）を達成するために、より大きな攻撃チェーンの一部としてカーネルエクスプロイトと連携して機能する必要があります。

KTRR バイパスは Apple によってパッチされるのでしょうか?

KTRR バイパスは、Apple の SoC (システム オン チップ) のセキュリティ メカニズムを回避してカーネル メモリへの不正アクセスを許可するハードウェア ベースの脆弱性です。

これはソフトウェアベースではなくハードウェアベースであるため、Appleは単なるソフトウェアアップデートでは修正できません。現在流通している影響を受けるすべてのデバイスは、毎年メジャーソフトウェアアップデートが提供されていても、運用寿命の間ずっとKTRRバイパスの影響を受け続けることになります。

Apple は、KTRR バイパスを利用しようとするハッカーに対してソフトウェアによるバリケードを張ることしかできないが、熟練したハッカーであればそうした防御さえ突破できる。

KTRR バイパスは新しいデバイスの checkm8 のようなものだと聞きましたが、本当でしょうか?

RedditやXboxで、最近発見されたKTRRバイパスはcheckm8 2.0に相当すると主張する人が大勢いるのを目にしました。はっきりさせておきます。そうではありません。

ご存知の通り、checkm8 はブートローダーの脆弱性でした。一方、KTRR バイパスは、Apple のカーネルメモリセキュリティ対策の一つに存在する脆弱性です。どちらもハードウェアベースの脆弱性であり、Apple によるソフトウェアアップデートで修正することはできませんが、これらは同じものではありません。

checkm8 は本格的なブートROMエクスプロイトであるため、単体でデバイスのジェイルブレイクに利用される可能性があります。KTRRバイパスは単体ではデバイスのジェイルブレイクに利用できません。ジェイルブレイクを実現するには、カーネルエクスプロイトと組み合わせる必要があり、場合によっては他のバイパスも攻撃チェーンの一部として組み込む必要があります。

どちらも強力で、ハードウェアベースであり、KTRバイパスはおそらくcheckm8以来の脱獄における最大の出来事と言えるでしょう。しかし、KTRRバイパスはcheckm8やlimera1nなどのブートROMエクスプロイトとは異なります。この違いを理解すれば、オンラインでの誤情報を簡単に見破ることができます。

KTRR バイパスに基づく脱獄はいつ実現するのでしょうか?

ちょっと待ってください。

KTRRバイパスはつい最近議論されたばかりで、一般公開されている資料はまだオンラインにアップロードされていません。つまり、脱獄開発者でさえ、まだ資料を確認する機会がないということです。

これは何を意味するのでしょうか？脱獄はまだ始まっていないということです。ドキュメントがアップロードされると、脱獄開発者はそれを分析して最適な脱獄方法を決定し、その後作業を開始します。

ドキュメントが公開されてから脱獄ツールを開発するには、数週間、あるいは数ヶ月かかることもあります。ツールを構築するだけでなく、ユーザーインターフェースを作成し、iPhoneやiPadがブートループに陥らないよう徹底的にテストし、新しいファームウェアに対応するためにソフトウェアの依存関係を更新する必要があります。これらすべての作業が、エンドユーザーがツールを使用できるようになる前に完了しなければなりません。

脱獄はセミテザード方式ですか、それともセミアンテザード方式ですか?

KTRRバイパスは、脱獄のテザー状態とは全く関係ありません。現在のほとんどの脱獄ツールと同様に、TrollStoreで永久署名できる、セミアンテザーの脱獄アプリが登場する可能性が高いでしょう。

テザー、セミテザー、セミアンテザー、アンテザーの各ジェイルブレイクの違いについて詳しく知りたい場合は、当社の詳細な記事をお読みください。

どうすればいいですか？

脱獄を待っている場合、最善策は、可能な限り低いファームウェアに留まり、ソフトウェアの更新を避けることです。

最近、多くの人が DelayOTA 方式を使用して iOS & iPadOS 17.0 にアップデートし、サポートされている最新バージョンの iOS & iPadOS で TrollStore 2.0 を楽しんでいますが、そのうちの多くは、もうすぐジェイルブレイクされるファームウェアのままにしておけばよかったと、今ごろ後悔していることでしょう。

個人的には、長年「可能な限り低いファームウェアを使い続ける」という鉄則を守ってきたため、この方法は反対でした。また、KFDエクスプロイトが依然として存在する以上、何らかのバイパスが出現するのは時間の問題だとも思っていました。そして今、KTRRバイパスが登場したのです…

脱獄できる、または近い将来に脱獄できるという確信がない限り、現状のままでアップデートの誘惑を避けてください。

脱獄が利用可能になったら iDB から通知されますか?

はい。iDBの仲間たちは、最新の脱獄ニュースをいつでもすぐにレポートしてくれます。

先日、iOS 16.2を搭載したARM64eデバイスを入手しました。そのため、入手次第、すぐに脱獄アプリを利用できる体制を整えています。入手したら、イラスト付きのステップバイステップのチュートリアルや、詳細な脱獄アプリのレビューなど、便利な機能が使えるようになります。

まとめ

KTRRバイパスについては、理解すべき点が山積みです。これは大きなニュースであり、今後何年にもわたって脱獄コミュニティに影響を与える可能性があります。特にAppleが今年、最後のcheckm8対応デバイスであるiPhone XをiOS 17で廃止したばかりですから、なおさらです。

KTRRバイパスはiPhone 14シリーズなどの最新デバイスに影響を及ぼしており、運が良ければiPhone 15シリーズにも影響が出るかもしれません。Appleがこれらのデバイスを廃止するまでには、まだしばらく時間がかかるでしょう…

KTRR バイパスについて、またはそれがジェイルブレイクにどのような影響を与えるかについてさらに質問がある場合は、お気軽に下記にコメントをお寄せください。