iPhone越狱幕后团队：像魔术师一样对抗苹果

　　【搜狐IT消息】北京时间1月23日消息，科技博客TechCrunch近日发表文章，回顾了iPhone越狱的演变历程，并通过对多名越狱团队成员的专访，揭秘了越狱工作模式的演变过程，越狱iPhone使用的技术、以及越狱当前的状况和前景等。

　　以下是文章详细内容：

　　最新进展

　　单从技术角度来看，iPhone 5其实已经被越狱了，而越狱工具之所仍未公布，主要原因是越狱iOS 6系统所利用的漏洞极为隐蔽，黑客们担忧公布该漏洞后会引起苹果的注意。黑客们仍在等待最佳的时机，并寻找其他可替代的漏洞。此外，由于苹果即将发布iOS 6.1系统，越狱团队也希望能在新系统发布后继续利用该漏洞进行越狱。

　　最近，iPhone 5越狱团队成员大卫·王（David Wang，也称@Planetbeing）在社交新闻网站Reddit上宣称，自己已经在iPhone 5上对iOS 6.0.2进行了完美越狱。

　　大卫·王说：“这个漏洞极为隐蔽，通过该漏洞我们能够更好的了解iOS 6系统。我们希望找到那些想要修改的目标代码，然后抓取其内存镜像（该过程被称为Dump）。如果无法做到这一点，那么我们的工作就只能在黑暗中进行。”

　　黑客们担忧，如果现在就发布越狱工具，苹果将很快找到被用来越狱的漏洞，并迅速将其封堵，这将导致越狱团队再也无法利用该漏洞进行越狱。事实上，就在大卫·王发布帖子后不久，越狱团队就已经找到了4个iPhone 5的漏洞。黑客们希望能找到更多类似的漏洞，而到目前为止，这方面的进展非常顺利。

　　普通用户是否能够成功越狱iPhone 5呢？大卫·王对此给予了肯定回答。但对于越狱工具是否会在今年发布，大卫·王则表示尽管他个人希望如此，但具体时间仍不确定，不过越狱工具肯定会在下一代iPhone推出之前公布。

　　过去的历史

　　与开发应用或网站不同，黑客们在寻找漏洞时并不会每天都有收获，这个过程就像淘金一样，很多时候都会空手而归。

　　越狱之所以大受欢迎，主要原因是苹果对iPhone进行了各种设置，而用户则希望通过越狱能在iPhone中添加各种不被苹果允许的功能和应用。用户希望将自己的iPhone变成WiFi热点，能够安装自定义主题或添加快捷键，一些用户甚至会解锁手机，以使其能运行在未经苹果允许的运营商网络上。

　　在早期阶段，不同的越狱团队会展开激烈的竞争，他们一般自发组织成类似iPhone Dev Team和Chronic Team的团队，当然也有一些黑客习惯单独行动，这些黑客经常在意想不到的时候发布越狱工具，使竞争对手和越狱用户大吃一惊。

　　不过，随着越狱变得越来越困难，参与越狱的黑客团队和个人也会采取相互协作，并在必要时共享知识。黑客之间不再进行竞争，每个成员都会负责各自的工作，并及时将越狱进展发布在GitHub分支上。这些发布在GitHub分支上的代码最后组成了普通用户使用的越狱工具。

　　大卫·王透露，从最近开始，每部设备的越狱工作不再是交由固定几个人来完成，而是会根据个人的时间和精力来做出安排。他说：“此前的越狱团队模式鼓励黑客们相互敌对，你无法与你欣赏的黑客进行合作，这种团队形式并不合适。目前，越狱团队的工作模式更出色，大家会采取分层的方式进行知识共享，我们只会与某个恰好需要的黑客进行知识共享，而不会与所有人进行共享。”

　　这种模式更温和、更好友，越狱团队的工作效率也得到了大幅提高。

　　大卫·王表示，iOS 6的越狱工作最近有所延迟，这不仅是因为苹果增强了iOS 6的安全性能，越狱团队的时间安排也是一大原因。他说：“团队成员中都有自己的日常工作，比如我目前从事的工作就与越狱毫不相关。”而另一名越狱黑客@Pod2g则表示，自己最近在忙于开发一款iOS 应用。

　　越狱的过程

　　从找到漏洞到发布越狱工具之间，还有许多细节工作需要完成，比如寻找不同设备代码之间的差异、完成测试流程等。当越狱工具开发完成后，要找到技艺高超但又不会向公众泄露越狱工具该测试者同样非常困难。大卫·王说：“测试过程有时候只需要几天时间，但有时甚至需要好几个星期。”

　　当然，越狱也不是全部过程都非常困难。

　　在以前，越狱开发者能够在设备Bootrom中找到Bug，这使越狱问题变得非常简单。只要设备的硬件不被更换，无论其运行哪个版本的iOS系统，用户都可以进行越狱。但现在，黑客们再也无法通过Bootrom进行越狱了。

　　大卫·王说：“iOS设备中Bootrom最近几年大幅缩小，现在我们甚至连内存镜像无很难获取。尽管我们已经完全控制了整部手机，但我们仍然看不到Bootrom，也不能获取Bootrom的内存镜像，这使我们很难从代码中找到错误。”他介绍，之所以会出现这种情况，主要原因是在iPhone 5完全启动后，系统会自动隐藏Bootrom。著名的越狱工具“Limera1n”（中文名为“绿雨”）曾利用iPhone 4和iPhone 3GS的一个未公开Bootrom漏洞进行了越狱，但苹果迅速修复了该漏洞并从此关上了Bootrom的大门。

　　那么，苹果修复Bootrom是不是仅仅是为了防止越狱呢？

　　“从目前的情况来看，确实是如此。因为除了越狱黑客，很少有人会关注读取Bootrom。读取Bootrom的作用并不大，这甚至都无法帮助黑客运行病毒。”大卫·王说。

　　如今，由于没有可利用的Bootrom漏洞，黑客们必须找到更多漏洞，才有可能向用户提供完整的越狱解决方案。大卫·王表示，黑客们必须找到代码注入漏洞（能够将代码注入到操作系统中），以及提升代码优先级的漏洞，从而获得系统修改权限。不过有时代码注入漏洞也同样是提升代码优先级的漏洞。此外，黑客还需要找到一个内核注入代码，这可以获得对操作系统不受限制的操作权限，并命令内核停止检查代码签名。

　　大卫·王指出，在iOS 6系统中，苹果还采用了ASLR（地址空间布局随机化）技术，该技术能够使内核在内存中的地址处于随机变动状态，苹果希望ASLR能够阻止黑客篡改内核。黑客必须找到一个能够绕开ASLR的漏洞，这一漏洞可能与内核注入或提升代码优先级的漏洞完全相同。

　　最后，黑客还必须找到一个能够进行完美越狱的漏洞，这可以使iPhone在任何时候启动时都能成功越狱。

　　没错，越狱成功需要寻找非常多的漏洞。

　　越狱简史

　　为了充分说明iPhone越狱越来越困难的演变过程，我们可以稍微了解下越狱的历史，这将有助于我们理解越狱近年来的变化和当前的情况。

　　当iPhone 3G诞生后，越狱团队首先推出了一款名为“Pwnage Tool”的工具。该工具基于Bootrom漏洞而开发，能够允许黑客更改iPhone上的软件。这就像是将改变了一台电脑的操作系统，在越狱iPhone后，黑客们通过Pwnage Tool工具获得了强大的系统修改能力。

　　苹果发布的iPhone 3GS并未修复该漏洞，直到iPhone 3GS上市后很久，苹果才决定暂停生产，并彻底将漏洞堵死。从那以后，新上市的iPhone 3GS均采用了新的Bootrom，黑客们再也无法使用该漏洞进行越狱了。

　　Cydia之父杰·弗里曼（Jay Freeman）说：“苹果的目的非常简单，他们希望堵死iPhone中存在的所有漏洞。我并不清楚，苹果为何认为那个漏洞比其他未修复的漏洞更加严重。当然，我们再也没有发现过比那更好的漏洞了。”

　　苹果堵死漏洞的做法并未阻止黑客们继续追寻越狱方法的脚步。

　　在苹果修复了那个Bootrom漏洞后，黑客们迅速找到了其他Bootrom漏洞，不过新发现的漏洞只能暂时对系统进行修改。大卫·王说：“我们可以使手机暂时以新内核启动，加载硬盘并修改iPhone上安装的软件。在这种情况下，系统内核仍然受到保护，毕竟Bootrom并未被修改或破坏。这就意味着，如果手机重新启动，系统将恢复成未越狱状态。”

　　大卫·王表示：“这在业界被称为‘非完美越狱’，因为每一次iPhone重启后，用户都必须将手机连接到电脑进行重新越狱。在苹果发布iPhone 4之后，为了获得修改内核的权限，我们就不得不在手机内置的应用中寻找漏洞，以确保用户能够修改手机上的其他应用程序。”

　　在这方面，最著名的例子莫过于黑客@comex创立的JailbreakMe网站。JailbreakMe找到了iPhone浏览器中的漏洞，并发起了大规模的攻击，导致iPhone浏览器崩溃并获取了控制权，最后JailbreakMe将代码注入到内核中并使iPhone成功进行了越狱。

　　“Comex就是一个天才，他在大量的代码中找到了许多漏洞。”弗里曼称赞说。

　　Comex最后加入了苹果，不过据消息人士透露，Comex在苹果主要的工作内容并不是反越狱。大卫·王也表示，用户无需对苹果招揽越狱社区人才感到过分担忧。

　　当黑客找到漏洞后，接下来就是让越狱“完美”运行，确保iPhone重启后能够直接进入越狱状态。大卫·王说：“这必须使iPhone关机后仍能够保留部分代码，从而在开机过程中修改系统软件，解除系统的安全防护措施。由于苹果已经堵死了类似于iPhone 3G或3GS的Bootrom漏洞，因此通过寻找手机内置应用中的漏洞，也就成为了完成越狱的最好办法。”

　　新iPhone新探索

　　每当苹果推出一款新的iPhone，黑客们就必须重新开始寻找新的漏洞。iPhone 4的越狱过程就是最好的证明。

　　2010年10月，当一些越狱社区成员为即将发布一款名为“SHAtter”的越狱工具沾沾自喜时，著名的黑客Geohot抢先推出了iPhone 4和iPad的越狱工具Limera1n，并引起了业界的关注。随后，在@Pod2G、@Comex和@i0n1c等黑客的共同努力下，iPhone 4的完美越狱最终顺利完成。

　　Limera1n的发布之所以具有里程碑的意义，原因是与JailbreakMe攻击容易被修复的浏览器漏洞不同，Bootrom漏洞在整个设备的生命周期中都是存在的。

　　弗里曼解释称：“如果想要升级Bootrom，除非让用户放弃现有的设备，重新购买一部新手机。因此，苹果根本无法阻止Limera1n，Limera1n将一直存在于每一部出厂时就带有漏洞的设备中。当然，苹果也可以像iPhone 3GS那样，终止整个生产流程以彻底修复该漏洞。”

　　越狱团队VS苹果

　　在iPhone 4S发布后，苹果与越狱团队之间的战争仍在继续。由于iPhone 4S修复了Limera1n所利用的越狱漏洞，黑客们被迫重新回到了寻找userland漏洞的道路上。弗里曼说：“userland漏洞其实就是软件中存在的漏洞，苹果在发布iOS 4、iOS 5、iOS 6等系统或者对硬件进行较小的升级时，都曾修复了多个userland漏洞。这种情况也被称为漏洞的‘见光死’（Burn)，因为漏洞一旦曝光，苹果就会迅速采取行动。”

　　在iPhone 4S上市后，越狱团队利用一个名为“Corona”的userland漏洞对iOS 5.0和iOS 5.01进行了成功越狱。苹果在此后的iOS 5.1中修复了该漏洞。但黑客们并未就此放弃，越狱团队再次推出了一款名为“absinthe”的越狱工具，并成功越狱了iOS 5.1和iOS 5.1.1。但到iOS 6系统发布时，该漏洞再次被苹果堵死。

　　大卫·王说：“iOS 6在安全方面的改进非常明显。iOS 6.1的安全性也得到了全面提升。在尝试对iPhone 5进行越狱时，我们遇到的最大难题就是初始代码的注入。”

　　不过iPhone 4并不会受到iOS系统更新的影响，因为Limera1n利用了一个尚未被修复的Bootrom漏洞，这使iPhone 4S无论使用哪一个版本的iOS，都可以被成功越狱。既然Bootrom漏洞如此有效，为何黑客们不继续寻找类似的漏洞呢？

　　答案并非如此简单？

　　弗里曼解释称：“与寻找系统漏洞相比，寻找Bootrom漏洞更加困难。Bootrom软件代码都非常短，黑客们很难从中找到攻击的入口。这就像面对一支全副武装的大型军队时，我们更容易找到其存在的软肋，但如果面对的小规模的军队，他们受到的保护反而更加全面。”

　　Bootrom的功能主要是验证其他软件，其主要通过USB与系统进行联系，并未包含多少代码。绝大多数的Bootrom漏洞都存在于USB设置代码中，但这类漏洞绝大多数都已经被苹果堵死。

　　像魔术师一样

　　令人期待的是，苹果在iPhone 5中采用了新的Lightning接口，这让黑客看到了在新Bootrom中找到漏洞的曙光。当然，这种前提是黑客们能找到查看Bootrom代码的方法。不过这一点当前还没有黑客能做到。

　　因此，从目前来看，越狱团队的主要任务就是寻找非Bootrom漏洞。不过这一任务变得越来越艰难，iPhone 4和iPod touch 4都未能完美越狱，而iPhone 4S或iPhone 5使用的iOS6系统截止目前也没有任何公开的越狱方法。

　　对于普通用户来说，他们往往并不清楚越狱工作的最新进展。当一个越狱团队成员或其他黑客在Twitter上披露最新进展时，大多数都只是发现了一个userland漏洞。尽管有一些开发者表示自己的设备能够运行Cydia越狱商店，并公布了截图，但弗里曼指出，这些截图并不意味着完美越狱。他说：“许多黑客表示自己的设备已经成功安装了Cydia，但这并不代表其设备能够运行所有的插件。另外，越狱团队成员会使用苹果自己的开发者工具，通过该工具，苹果的付费开发者能够在手机上安装自己的代码。这就意味着，当一款设备运行了Cydia，也无法证明适用于广大普通用户的越狱工具已经开发完毕。”

　　弗里曼坦承，越狱团队或黑客发布的截图有时也意味着越狱工作取得了突破。

　　“越狱工作有时就像变魔术一样，你可能知道其他人表演的魔术关键在哪里，但那并不是你的魔术。许多黑客能够完成相同的越狱工作，但也有人会在手机上做一些非常奇怪的事情。变魔术是侵入你的大脑，而黑客们侵入的是手机。”弗里曼说。

　　以@chpwn和@phoenixdev两位黑客展示的越狱方法为例，尽管其方法完全合法，但他们并未获得更改内核的权力，因此其越狱仍不能称为完美。弗里曼说：“他们只是属于半越狱，因为该方法不能确保人们自由的在设备中安装软件、添加功能。”

　　另外还有一点非常关键，你必须清楚哪些越狱开发者值得信赖。尽管不排除有人像当年的Comex那样出人意料的发布越狱工具，但从目前的情况来看，那些多年来持续研究越狱苹果设备的开发者仍旧是越狱工作的主力人群。

　　用户会选择越狱吗？

　　那么，当越狱团队成功对iPhone 5进行越狱后，用户是否会选择越狱呢？越狱工具是否能像此前那样吸引大量用户呢？

　　弗里曼表示：“从过去两个月的数据来看，目前全球仍在运行Cydia的苹果设备达到2278万台，其中包括了iPhone、iPad和iPod Touch。许多用户仍在使用iPhone 4和iPhone 4S。”

　　他表示，在新旧越狱工具发布之间存在一段空白期，这段时期中，Cydia的安装量都会逐步下滑，但当下一个重大越狱工具发布后，Cydia的安装量就会显著回升。

　　“当我们发布新的越狱工具时，会迅速吸引用户的注意力，许多用户会在这段时间升级、越狱，然后浏览越狱插件并购买产品。这些用户都非常活跃，因此Cydia的安装量很容易达到高峰，但其下滑速度也会非常明显。有时候，Cydia安装量下滑的速度甚至会超过用户有机增长的累计速度，因此这也意味着越狱工具的整体使用量一般是呈下滑趋势的。”

　　越狱时代终结？

　　那么，越狱的时代是否即将终结呢？

　　当越狱团队还在为iPhone 5的完美越狱不断努力时，也有人对越狱是否仍有必要存在提出了质疑。毕竟经过多年的持续改进后，最新的iOS已经非常完美，也增加了许多只有越狱后才能获得功能，比如拥有下拉式通知窗口、允许用户在锁屏界面里设置壁纸、使Facetime能在AT&T的3G和4G网络中正常使用等。

　　此外，iPhone还进入了T-Mobile的销售渠道，T-Mobile用户根本无需越狱就可以使用iPhone。而对大多数人来说，花钱购买运营商提供的WiFi热点服务，也比越狱然后安装WiFi热点软件来的更简单。

　　而对于那些喜欢“捣乱”的用户来说，盗版应用社区Hacklous的关闭并不是好消息。Hacklous创始人表示：“我们的社区已经失去了活力，很难获得用户的关注。”

　　弗里曼指出，iPhone 5越狱工具始终未发布并不是用户对越狱失去兴趣的主要原因。用户之所以对越狱越来越冷淡，最大的原因是近期最热门设备的越狱工具表现并不完美。

　　他说：“目前，针对iPhone 4或iPod Touch 4使用的iOS 6系统，越狱团队并未发布足够出色的越狱工具，而对于苹果其他新设备，包括iPhone 4S在内，目前也没有发布任何有效越狱iOS 6的工具。”

　　大卫·王表示：“许多人认为，苹果对iOS做出的大量改进是用户对越狱兴趣下降的主要原因，但我认为越狱仍然非常流行。以我在Reddit发布的与越狱有关的帖子为例，该帖子获得了大量用户的关注，浏览量也取得爆发式增长，因此这在一定程度上表明越狱仍具有可观的前途。”

　　大卫·王也承认，越狱团队确实不像此前那样经常与用户进行联系。

　　“或许我在越狱方面所做的努力并未取得满意的结果，因为从另一方面来看，这份工作并没有什么前途。我们永远会被人误解，这种感觉非常难受。有时候我会想到放弃，这样可以省掉很多不必要的麻烦。”大卫·王说。

　　但他并未放弃。上周末，大卫·王和@Pod2G在Twitter上宣布，已经在寻找漏洞方面取得了图片，新的漏洞将加速公开越狱工具的开发进程。

　　无论使用哪种方式，iPhone 5的越狱都将是越狱社区的一剂强心针。在多年的努力后，越狱社区已经颇具规模，甚至还曾举办了一次全球越狱开发者大会。至于用户是否仍有兴趣越狱iPhone，或者对无法完美越狱的iPhone感到满意，这只有等到iPhone 5的越狱工具后才能知道了。

　　当然，与其他许多黑客一样，大卫·王也一直使用越狱后的设备。他说：“我的iPhone永远都是处于越狱状态。或许在不久后的某一天，我的iPhone能够再次成功越狱。”（Risen)