Je suis reparti complètement à l’aveugle, à coup de grep. J’ai cherché tout ce que je pouvais trouver à propos
de Signal dans les sysdiagnose, et après de (trop) nombreuses minutes de recherche, je suis tombé sur un log
intrigant, dans le fichier private/var/mobile/Library/Logs/CrashReporter/FilesystemMeta-2025-04-07-080524.fsmeta/private_var-dev_disk1s2.fslisting :
0 96 - 0 1744033538 16877 501 501 /private/var/mobile/Library/TrollDecrypt/
0 96 - 0 1744033541 16877 501 501 /private/var/mobile/Library/TrollDecrypt/decrypted/
66605056 66603101 - 0 1744033541 33188 501 501 /private/var/mobile/Library/TrollDecrypt/decrypted/Signal_7.53_decrypted.ipa
Tiens, tiens, c’est quoi ce TrollDecrypt ? Il s’agit en fait d’un outil qui permet de déchiffrer une appli installée pour produire un nouvel ipa. Plus d’information ici. On peut imaginer que cela autorise à patcher l’application en question et la réinstaller, par exemple avec un implant malveillant.
Creuser autour de cet outil permet aussi d’identifier des logs supplémentaires dans les fichiers private/var/mobile/Library/Logs/CrashReporter/DiagnosticLogs/sysdiagnose/sysdiagnose_2025.04.07_08-06-18-0700_iPhone-OS_iPhone_20A362/logs/MobileInstallation/mobile_installation.log.* :
$ grep "Uninstalling identifier" sysdiagnose_and_crashes/private/var/mobile/Library/Logs/CrashReporter/DiagnosticLogs/sysdiagnose/sysdiagnose_2025.04.07_08-06-18-0700_iPhone-OS_iPhone_20A362/logs/MobileInstallation/mobile_installation.log.*
sysdiagnose_and_crashes/private/var/mobile/Library/Logs/CrashReporter/DiagnosticLogs/sysdiagnose/sysdiagnose_2025.04.07_08-06-18-0700_iPhone-OS_iPhone_20A362/logs/MobileInstallation/mobile_installation.log.0:Mon Apr 7 07:40:47 2025 [446] <notice> (0x16fc9b000) -[MIUninstaller _uninstallBundleWithIdentity:linkedToChildren:waitForDeletion:uninstallReason:temporaryReference:wasLastReference:error:]: Uninstalling identifier org.whispersystems.signal
sysdiagnose_and_crashes/private/var/mobile/Library/Logs/CrashReporter/DiagnosticLogs/sysdiagnose/sysdiagnose_2025.04.07_08-06-18-0700_iPhone-OS_iPhone_20A362/logs/MobileInstallation/mobile_installation.log.0:Mon Apr 7 07:43:55 2025 [446] <notice> (0x16fd27000) -[MIUninstaller _uninstallBundleWithIdentity:linkedToChildren:waitForDeletion:uninstallReason:temporaryReference:wasLastReference:error:]: Uninstalling identifier com.fiore.trolldecrypt
sysdiagnose_and_crashes/private/var/mobile/Library/Logs/CrashReporter/DiagnosticLogs/sysdiagnose/sysdiagnose_2025.04.07_08-06-18-0700_iPhone-OS_iPhone_20A362/logs/MobileInstallation/mobile_installation.log.0:Mon Apr 7 07:45:14 2025 [446] <notice> (0x16fc9b000) -[MIUninstaller _uninstallBundleWithIdentity:linkedToChildren:waitForDeletion:uninstallReason:temporaryReference:wasLastReference:error:]: Uninstalling identifier com.apple.calculator
On a donc:
- l’application qui extrait l’ipa : TrollDecrypt, ou
com.fiore.trolldecrypt. - l’ipa est enregistré sous
/private/var/mobile/Library/TrollDecrypt/decrypted/Signal_7.53_decrypted.ipa. - pour finir, la demande de désinstallation de Signal (
org.whispersystems.signal) a eu lieu le 7 avril à 7h40m47.
D’où le flag : FCSC{com.fiore.trolldecrypt|/private/var/mobile/Library/TrollDecrypt/decrypted/Signal_7.53_decrypted.ipa|2025-04-07 07:40:47}.