iPhone越獄幕后團隊揭秘：黑客如魔術師[圖]

北京時間1月22日晚間消息，科技新聞網(wǎng)站TechCrunch近日撰文，回顧了iPhone越獄的前世今生，并通過采訪多名從事越獄開發(fā)工作的黑客，揭秘iPhone越獄的相關技術，以及越獄團隊的幕后故事。

以下為文章概要：

從技術上來說，iPhone 5已經(jīng)被越獄了。普通用戶之所以尚未獲得越獄工具，是因為iOS 6越獄所利用的漏洞十分巧妙，發(fā)現(xiàn)漏洞的黑客們不希望將其公之于眾，以防止蘋果發(fā)現(xiàn)該漏洞并打上補丁。相反，黑客們選擇繼續(xù)等待，同時尋找其他的可替代的漏洞。另外，鑒于iOS 6.1很快就將發(fā)布，越獄團隊也不希望在那之前公布該漏洞。

iPhone 5越獄團隊成員大衛(wèi)·王（David Wang，又名@Planetbeing）不久前在社交新聞網(wǎng)站Reddit上稱，“事實上，我已經(jīng)在iPhone 5上實現(xiàn)了iOS 6.0.2的完美越獄”。

“這個漏洞特別巧妙，因為它使我們能夠深入了解系統(tǒng)，”大衛(wèi)·王說。“我們需要看到那些我們試圖修改的代碼--然后抓取其內(nèi)存鏡像（該過程被稱為dump）。如果做不到這一點，我們基本上就是在黑暗中工作。”

如果黑客們現(xiàn)在就公開發(fā)布越獄工具，蘋果將很快找到這個很巧妙的漏洞，然后迅速將其封堵。越獄開發(fā)者還不希望這么做。事實上，在大衛(wèi)·王發(fā)布那篇Reddit帖子的時候，越獄團隊就已經(jīng)發(fā)現(xiàn)了4個iPhone 5的漏洞。黑客們正在試圖找到更多的漏洞，而到目前為止，這方面的進展非常順利。

那么，普通用戶最終能否越獄iPhone 5呢？王給出的答案是肯定的。越獄工具是否會在年內(nèi)發(fā)布？王回答說，他當然希望如此，至少會在下一代iPhone出來之前。

那些有關越獄的“往事”

尋找漏洞與開發(fā)應用或網(wǎng)站不同，越獄開發(fā)者不可能每天都看到進展。相反，尋找漏洞的過程就像是淘金，有時候甚至會空手而歸。

最初，越獄之所以會流行，是因為它允許iPhone用戶添加蘋果不允許安裝的應用和功能。用戶可以將iPhone變?yōu)閃i-Fi熱點、安裝自定義主題、為設備的設置和控制添加快捷鍵，或者突破蘋果的默認限制，等等。一些用戶甚至會解鎖手機，以將其運行在未經(jīng)許可的運營商網(wǎng)絡上。

越獄之后的iPhone可以突破蘋果的限制，為設備添加快捷控制鍵

曾幾何時，不同越獄團隊之間的競爭非常激烈。他們各自組成類似于iPhone Dev Team和Chronic Team的團隊，還有一些特立獨行的開發(fā)者則獨立行動。黑客們相互競爭，甚至經(jīng)常在對方和越獄用戶意想不到的時候發(fā)布越獄工具。

而如今，越獄變得越來越困難。參與越獄的個人通常會相互協(xié)作，在必要時共享知識。以往的競爭場面不復存在。每個人都各自負責一部分工作。所有人都將自己的工作進展發(fā)布在GitHub分支上，而發(fā)布在那里的代碼隨后才會被變成普通用戶所用的越獄工具。

大衛(wèi)·王表示，最近一段時間以來，每部設備的越獄工作并不是由固定的幾個人完成的，而是要看誰恰好有時間和精力。“慢慢地，越獄的團隊模式逐漸瓦解了，”他說。“團隊的形式并不合適，因為它鼓勵黑客們相互敵對，你無法與你欣賞的黑客進行合作。我們現(xiàn)在的模式則更好--我們相互合作并共享知識，但共享模式是分層式的。我們不會與整個團隊分享知識，而只是與某個恰好需要的黑客進行共享。”

這是一種更加友好和溫和的黑客工作方式。

最近一段時間，iOS 6的越獄工作有所延遲，但這不僅是因為iOS 6安全性能的增強，而是因為越獄開發(fā)者的時間安排問題，比如他們的日常工作。大衛(wèi)·王目前擁有一份與越獄毫不相關的全職工作。另一名越獄黑客@Pod2g，近期則忙于開發(fā)自己的iOS應用。

尋找漏洞

在找到漏洞和發(fā)布越獄工具之間，還有一些事情拖累了整個過程：例如，尋找不同設備代碼之間的區(qū)別，以及測試流程等。當越獄工具開發(fā)完成后，找到水平足夠高但又不會向公眾泄露越獄工具的測試者同樣很有挑戰(zhàn)性。“有時測試過程需要數(shù)天時間，有時甚至需要好幾周，”王說。

當然，有時候越獄也會比較簡單。

曾幾何時，越獄開發(fā)者可以在設備Bootrom中找到bug，然后越獄問題迎刃而解。只要設備硬件不被更換，不管其運行的iOS版本是什么，用戶永遠都可以越獄。但如今，黑客們再也無法進入bootrom。

“iOS設備的Bootrom最近幾年來越來越小，但我們現(xiàn)在連內(nèi)存鏡像都無法獲取。即便現(xiàn)在已經(jīng)完全控制了整部手機，我們還是無法看到bootrom。如果不能獲取bootrom的內(nèi)存鏡像，我們就不能輕松地查看代碼并從中發(fā)現(xiàn)錯誤，”王表示。之所以會這樣，是因為在iPhone 5完全啟動之后，系統(tǒng)會自動隱藏bootrom。自從著名越獄工具“Limera1n”（中文俗稱“綠雨”）利用了iPhone 4和3GS的一個未公開Bootrom漏洞之后，蘋果就修復了該漏洞并從此關上了bootrom的大門。

蘋果修復bootrom的原因僅僅是為了防止越獄嗎？

“似乎的確如此，因為除了越獄黑客，誰還會在乎讀取bootrom呢？讀取bootrom的一般用途不大，甚至不能幫助黑客運行病毒，”王說。

如今，由于沒有可用的bootrom漏洞，黑客們需要找到多個漏洞，才有可能向用戶提供完整的越獄解決方案。黑客們需要代碼注入漏洞（將代碼注入到操作系統(tǒng)中），以及提升代碼優(yōu)先級的漏洞，獲取修改系統(tǒng)的權限。后一個漏洞有時與代碼注入漏洞是相同的。

然后還需要有一個內(nèi)核注入代碼，其作用是獲得對操作系統(tǒng)不受限制的操作權限，并命令內(nèi)核停止檢查代碼簽名。而到了iOS 6，黑客們還需要一個漏洞繞過ASLR（地址空間布局隨機化）的限制。ASLR會使得內(nèi)核在內(nèi)存中的地址變得隨機可變。

蘋果之所以不讓越獄者看到內(nèi)核在內(nèi)存中的地址，正是為了防止黑客篡改內(nèi)核，大衛(wèi)·王表示。因此，黑客們還需要一個能夠繞過ASLR的漏洞，這一漏洞可能與提升代碼優(yōu)先級或內(nèi)核注入的漏洞相同。[!--empirenews.page--]

此外，還需要有一個完美越獄的漏洞，以使得越獄能夠在任何時候iPhone啟動時運行。

沒錯，越獄需要非常多的漏洞。

越獄簡史

為了充分理解iPhone越獄這些年來是如何變得越來越困難的，我們需要對越獄的歷史稍加了解，以理解越獄這些年來的變化和當前的情況。

在iPhone 3G發(fā)布之后，一款名為“Pwnage Tool”的工具橫空出世。它基于bootrom漏洞而開發(fā)，允許黑客更改設備上的軟件。簡單說來，這個過程類似于改變一臺電腦上的軟件--就像是在一臺運行Windows的電腦中安裝Linux操作系統(tǒng)。在越獄iPhone之后，Pwnage Tool為黑客們提供了強大的修改系統(tǒng)的能力。

在iPhone 3GS發(fā)布之后，舊的漏洞仍然沒有被修復。直到iPhone 3GS上市很久之后，蘋果才決定臨時暫停生產(chǎn)，以徹底解決該問題。從那之后，新出廠的iPhone 3GS均采用了新的bootrom，舊漏洞被徹底封堵。

“蘋果的動機很簡單，iPhone存在漏洞而他們希望將其封堵，”Cydia之父杰·弗里曼（Jay Freeman）說。“但至于為何蘋果認為那個漏洞比其他未被修復的漏洞更加重要，我也不得而知。我們再也沒有發(fā)現(xiàn)過比那個漏洞更好的漏洞。”

但這并未阻止黑客們繼續(xù)尋找其他入侵iPhone的方法。

在蘋果修復那個bootrom漏洞之后，越獄開發(fā)者很快就發(fā)現(xiàn)了其他的bootrom漏洞，但新發(fā)現(xiàn)的漏洞只能對系統(tǒng)進行臨時性的更改。黑客可以使手機暫時以新內(nèi)核啟動手機，加載硬盤并修改iPhone上的軟件--換句話說，運行所有修改iPhone系統(tǒng)的越獄應用。

但在這種情況下，系統(tǒng)內(nèi)核仍然是受保護的，因為bootrom仍未被修改或破壞。這就意味著，一旦手機重啟，系統(tǒng)就會恢復非越獄狀態(tài)。這種越獄方式又被稱為“非完美越獄”，即每一次iPhone重啟之后，用戶都必須將手機插到電腦中重新越獄。到iPhone 4發(fā)布時，越獄開發(fā)者不得不在手機內(nèi)置的應用中尋找漏洞，以獲得修改內(nèi)核的權限，進而允許用戶修改手機上的其他軟件。

JailbreakMe利用了iOS瀏覽器的漏

最著名的例子莫過于黑客@comex創(chuàng)立的JailbreakMe網(wǎng)站。JailbreakMe利用了iPhone瀏覽器中的漏洞，將瀏覽器攻擊至崩潰并獲取控制權，然后將入侵代碼注入到內(nèi)核之中。

“Comex簡直就是天才，”弗里曼說。“他在大量的代碼中發(fā)現(xiàn)了非常多的漏洞。”

Comex后來被蘋果招攬至旗下，但據(jù)消息透露，他在蘋果從事的工作與反越獄并無關系。大衛(wèi)·王表示，用戶無需對蘋果招攬越獄社區(qū)人才過分擔憂。

在找到漏洞之后，下一步就是讓越獄能夠“完美”運行--即重啟之后就直接進入越獄狀態(tài)。這需要越獄在手機關機之后仍然保留部分代碼，從而在開機的過程中修改系統(tǒng)軟件，解除系統(tǒng)的安全防護。由于無法找到類似于iPhone 3G或3GS的bootrom漏洞，上文所述的方法就是眼下完成非完美越獄的最好方法。

新的iPhone意味著需要尋找新的漏洞

每當一款新iPhone問世，尋找漏洞的工作就要重新開始。iPhone 4的越獄就是一個典型的例子。

2010年10月10日，就在一些越獄社區(qū)成員即將發(fā)布一款名為SHAtter的越獄工具時，著名黑客Geohot出人意料地搶先發(fā)布了iPhone 4和iPad的越獄工具Limera1n。隨后，在@Pod2G、@Comex和@i0n1c等黑客的后續(xù)努力下，iPhone 4的完美越獄成功完成。

越獄工具Limera1n利用了iPhone 4和iPad的bootrom漏洞

Limera1n之所以意義重大，是因為與JailbreakMe利用較易修復的瀏覽器軟件漏洞不同的是，bootrom漏洞在整個設備的壽命周期中都是有效的。

“想要升級bootrom，除非讓用戶扔掉自己的手機，然后買一部新的。因此，蘋果永遠無法阻止Limera1n，”弗里曼解釋道。“Limera1n會永遠存在于每一部出廠時就帶有漏洞的設備中，”除非蘋果像3GS時那樣中斷整個生產(chǎn)線以修復漏洞。

在iPhone 4S發(fā)布之后，蘋果與越獄社區(qū)的貓鼠游戲仍在繼續(xù)。由于Limera1n利用的漏洞在iPhone 4S中被修復，黑客們不得不重新回到了尋找userland漏洞的道路上--userland漏洞是指軟件中存在的漏洞，例如JailbreakMe利用的瀏覽器漏洞。這種漏洞極易被蘋果在下一次固件升級中修復，比如iOS 4、iOS 5、iOS 6和一些較小的固件升級，都曾修復過多個userland漏洞。黑客們將這種情況稱為漏洞的“見光死”（burn），因為一旦公開，這些漏洞就一定會被蘋果封堵。

iPhone 4S發(fā)布之后，越獄團隊利用代號為“Corona”的userland漏洞，成功越獄iOS 5.0和iOS 5.0.1。隨后蘋果發(fā)布iOS 5.1，修復了這個漏洞。但黑客們并沒有氣餒，他們又開發(fā)出了另一款越獄工具absinthe，成功越獄了iOS 5.1和5.1.1。而到了iOS 6，蘋果再一次封堵了漏洞。

“iOS 6在安全方面有重大的提升。iOS 6.1也擁有諸多安全方面的提升，”王說。“我們在越獄iPhone 5時遇到的難題之一就是初始代碼的注入。”

而iPhone 4則不會受到所有這些iOS系統(tǒng)更新的影響。因為Limera1n使用了一個尚未修復的bootrom漏洞，不管運行哪個版本的iOS，iPhone 4都可以被越獄。這就使得人們提出這樣的疑問：如果bootrom漏洞如此強大，為什么黑客們不去尋找呢？

答案并非如此簡單。

“尋找bootrom漏洞比尋找系統(tǒng)漏洞更加困難，因為bootrom軟件代碼特別短，要在其中找到攻擊的入口很不容易，”弗里曼說。就好比一支身披盔甲的大型軍隊，可能會在某個地方存在軟肋，因而更易遭到敵人的進攻。但小規(guī)模的軍隊卻更有可能得到更全面的保護。bootrom的功能主要是驗證其他軟件，它通過USB與系統(tǒng)進行溝通，其中包含的代碼不多。[!--empirenews.page--]

絕大多數(shù)bootrom漏洞都存在于USB設置代碼中，而絕大多數(shù)此類漏洞都已經(jīng)被修復。

有意思的是，蘋果在iPhone 5中采用了新的Lightning接口，因此黑客們有一定的機會在新bootrom中發(fā)現(xiàn)漏洞--前提是黑客能夠找到查看bootrom代碼的方法，但如前所述，這一點目前還做不到。

因此到目前為止，越獄開發(fā)者的主要任務是尋找非bootrom漏洞，而且這一任務變得越來越艱巨。iPhone 4或iPod touch四代尚未完美越獄，而只是非完美越獄。iPhone 4S或iPhone 5的iOS 6也沒有任何公開的越獄方法。

越獄黑客就像魔術師

作為普通用戶，一般人很難了解到越獄工作的最近狀況。當越獄開發(fā)者和其他黑客在Twitter上發(fā)帖披露最新進展時，有時僅僅是一個userland漏洞而已。還有一些開發(fā)者貼出了自己的設備運行Cydia越獄商店的截圖。但“Cydia之父”弗里曼表示，這些截圖有時僅僅意味著部分越獄--雖然Cydia安裝成功，但許多應用插件未必都能運行。還有一些時候，越獄開發(fā)者使用了蘋果自己的開發(fā)者工具，該工具允許蘋果的付費開發(fā)者在手機上安裝他們自己的代碼。換句話說，看到一款設備運行著Cydia，并不能證明適用于普通用戶的越獄工具開發(fā)完畢。

然而，這些截圖有時是越獄工作取得進展的標志。

“有的越獄工作就像魔術師一樣。你可能知道其他人的魔術是怎么做的，但那仍然是其他人的魔術，”弗里曼說。“許多黑客都能完成相同的越獄工作。一些人還會在手機上做一些很奇怪的事情。”魔術師入侵的是你的大腦，而黑客們?nèi)肭值氖鞘謾C。

例如，最近兩名黑客@chpwn和@phoenixdev展示的越獄方法是完全合法的，但他們并未獲得更改內(nèi)核的權限，因此其越獄是“不完整”的，即不能完成人們通常所認為的越獄設備所能做的事情，弗里曼說。“他們只是半越獄。”

很重要的一點是，你必須知道哪個越獄開發(fā)者是可信的。盡管未來仍有可能會有某個黑客像當年Comex那樣出乎所有人的意料發(fā)布越獄工具，但總的來說，未來的越獄工作主要還是依靠那些多年來持續(xù)研究越獄蘋果設備的開發(fā)者。

如果黑客成功越獄iPhone 5，用戶會選擇越獄嗎？

但當iPhone 5越獄工具真正發(fā)布的時候，更重要的問題將會是，越獄工具還能否像過去幾年那樣吸引到大量的用戶？弗里曼稱，基于過去兩個月的數(shù)據(jù)統(tǒng)計，全球目前有2278萬臺設備正在運行Cydia。當然，這一數(shù)字不只是iPhone，同樣還包括了iPad和iPod touch。許多用戶仍然在使用iPhone 4和4S。

過去兩個月運行Cydia的各種設備占比

弗里曼表示，在新舊越獄工具發(fā)布中間的空檔期，Cydia安裝量往往都會開始下滑，但當下一個重大越獄工具發(fā)布之后，Cydia安裝量就會超過以往。

“每一次我們發(fā)布越獄工具時，就會重新獲得大量的用戶關注，大量用戶在那段時間里升級、越獄，然后瀏覽越獄插件并購買產(chǎn)品，”弗里曼說。“這些都是極其活躍的用戶；Cydia安裝高峰期的數(shù)量巨大，下滑的速度也很快，甚至超過了用戶有機增長的積累速度，因此越獄工具的整體使用量一直是下滑的。”

越獄插件商店Cydia

越獄的時代是否已經(jīng)終結？

不過，在外界耐心等待iPhone 5越獄出爐的過程中，也會有一些人質疑越獄是否還有任何意義。畢竟，經(jīng)過多年來的持續(xù)改進，蘋果已經(jīng)在iOS中添加了許多原本只有越獄后才能享受的功能：iOS如今擁有下拉式通知窗口，允許用戶在鎖屏界面設置壁紙等。Facetime如今也可以在AT&T的3G和4G網(wǎng)絡中使用。iPhone還將登陸T-Mobile，T-Mobile用戶再也不用越獄并解鎖iPhone，而是可以直接使用，甚至還可以購買解鎖版的iPhone。平心而論，花錢購買運營商提供的Wi-Fi熱點服務，也比越獄然后安裝Wi-Fi熱點軟件來得更簡單。

而對于那些“調皮”的用戶來說，盜版應用社區(qū)Hacklous已經(jīng)于近期關閉，理由是缺乏足夠多的用戶關注。“我們的社區(qū)已經(jīng)變得毫無活力，”Hacklous創(chuàng)始人稱。

弗里曼認為，iPhone 5越獄工具遲遲未能發(fā)布，并非近期用戶對越獄失去興趣的主要原因。之所以會出現(xiàn)用戶對越獄冷淡，是因為近期最熱門設備的越獄工具并不完美。

“iPhone 4或iPod touch四代的iOS 6尚未出現(xiàn)‘足夠好’的越獄工具（即仍然是非完美越獄），”他說，“對于其他更新的設備，更是沒有任何越獄iOS 6的方法，包括去年的iPhone 4S在內(nèi)。”

“許多人認為越獄的流行度之所以在下降，是因為蘋果做出了非常多的改進，但在我看來越獄仍然相當流行，”大衛(wèi)·王稱。他在Reddit上發(fā)表的那篇關于越獄的帖子瀏覽量暴增，也表明越獄的前景仍然是很可觀的。

他承認，如今的越獄開發(fā)者或許沒有像以往那樣與用戶進行足夠的溝通。

“或許我在越獄方面所做的努力沒有達到應有的程度，因為從一定程度上講，這份工作永遠是沒有希望的。永遠都會有人不理解或曲解我們的意思，”他說，“被人誤解的滋味真的很難受。有時我甚至會想干脆放手不干了，省得麻煩。”

但他仍然在繼續(xù)嘗試。就在上周末，大衛(wèi)·王和@Pod2G在Twitter上發(fā)表推文稱，他們在尋找漏洞方面取得了進展，新的漏洞有望加速公開越獄工具的發(fā)布。

[!--empirenews.page--]
@planetbeing和@pod2g在Twitter上宣布尋找iOS 6漏洞的工作取得了進展

不管采用什么方法，iPhone 5的越獄都將為越獄社區(qū)帶來新的活力。經(jīng)過這些年來的發(fā)展，越獄社區(qū)正在逐步壯大，甚至還舉辦了一次全球越獄開發(fā)者大會。至于全球數(shù)百萬用戶是否仍有興趣越獄iPhone，或者是否已經(jīng)對沒有完美越獄的現(xiàn)狀感到滿足，答案只有等iPhone 5的越獄工具發(fā)布之后才能揭曉。

當然，與其他黑客一樣，大衛(wèi)·王從未停止過使用越獄后的設備。“我的iPhone永遠都是越獄狀態(tài)，”他說。

或許不久之后的某一天，你的iPhone也可以再一次越獄。