iPhone越獄幕後團隊揭秘：黑客如魔術師

孤寂如雲

越獄後的iPhone截圖

騰訊科技訊（張和）北京時間1月22日消息，科技新聞網站TechCrunch近日撰文，回顧了iPhone越獄的前世今生，並通過采訪多名從事越獄開發工作的黑客，揭秘iPhone越獄的相關技術，以及越獄團隊的幕後故事。


文章概要

從技術上來說，iPhone 5已經被越獄了。普通用戶之所以尚未獲得越獄工具，是因為iOS 6越獄所利用的漏洞十分巧妙，發現漏洞的黑客們不希望將其公之於眾，以防止蘋果發現該漏洞並打上補丁。相反，黑客們選擇繼續等待，同時尋找其他的可替代的漏洞。另外，鑒於iOS 6.1很快就將發布，越獄團隊也不希望在那之前公布該漏洞。

iPhone 5越獄團隊成員大衛·王（David Wang，又名@Planetbeing）不久前在社交新聞網站Reddit上稱，“事實上，我已經在iPhone 5上實現了iOS 6.0.2的完美越獄”。

“這個漏洞特別巧妙，因為它使我們能夠深入了解系統，”大衛·王說。“我們需要看到那些我們試圖修改的代碼--然後抓取其內存鏡像（該過程被稱為dump）。如果做不到這一點，我們基本上就是在黑暗中工作。”

如果黑客們現在就公開發布越獄工具，蘋果將很快找到這個很巧妙的漏洞，然後迅速將其封堵。越獄開發者還不希望這麼做。事實上，在大衛·王發布那篇Reddit帖子的時候，越獄團隊就已經發現了4個iPhone 5的漏洞。黑客們正在試圖找到更多的漏洞，而到目前為止，這方面的進展非常順利。

那麼，普通用戶最終能否越獄iPhone 5呢？王給出的答案是肯定的。越獄工具是否會在年內發布？王回答說，他當然希望如此，至少會在下一代iPhone出來之前。


那些有關越獄的“往事”

尋找漏洞與開發應用或網站不同，越獄開發者不可能每天都看到進展。相反，尋找漏洞的過程就像是淘金，有時候甚至會空手而歸。

最初，越獄之所以會流行，是因為它允許iPhone用戶添加蘋果不允許安裝的應用和功能。用戶可以將iPhone變為Wi-Fi熱點、安裝自定義主題、為設備的設置和控制添加快捷鍵，或者突破蘋果的默認限制，等等。一些用戶甚至會解鎖手機，以將其運行在未經許可的運營商網絡上。

越獄之後的iPhone可以突破蘋果的限制，為設備添加快捷控制鍵（騰訊科技配圖）

曾幾何時，不同越獄團隊之間的競爭非常激烈。他們各自組成類似於iPhone Dev Team和Chronic Team的團隊，還有一些特立獨行的開發者則獨立行動。黑客們相互競爭，甚至經常在對方和越獄用戶意想不到的時候發布越獄工具。

而如今，越獄變得越來越困難。參與越獄的個人通常會相互協作，在必要時共享知識。以往的競爭場面不復存在。每個人都各自負責一部分工作。所有人都將自己的工作進展發布在GitHub分支上，而發布在那裏的代碼隨後才會被變成普通用戶所用的越獄工具。

大衛·王表示，最近一段時間以來，每部設備的越獄工作並不是由固定的幾個人完成的，而是要看誰恰好有時間和精力。“慢慢地，越獄的團隊模式逐漸瓦解了，”他說。“團隊的形式並不合適，因為它鼓勵黑客們相互敵對，你無法與你欣賞的黑客進行合作。我們現在的模式則更好--我們相互合作並共享知識，但共享模式是分層式的。我們不會與整個團隊分享知識，而只是與某個恰好需要的黑客進行共享。”

這是一種更加友好和溫和的黑客工作方式。

最近一段時間，iOS 6的越獄工作有所延遲，但這不僅是因為iOS 6安全性能的增強，而是因為越獄開發者的時間安排問題，比如他們的日常工作。大衛·王目前擁有一份與越獄毫不相關的全職工作。另一名越獄黑客@Pod2g，近期則忙於開發自己的iOS應用。


尋找iOS漏洞

在找到漏洞和發布越獄工具之間，還有一些事情拖累了整個過程：例如，尋找不同設備代碼之間的區別，以及測試流程等。當越獄工具開發完成後，找到水平足夠高但又不會向公眾泄露越獄工具的測試者同樣很有挑戰性。“有時測試過程需要數天時間，有時甚至需要好幾周，”王說。

當然，有時候越獄也會比較簡單。

曾幾何時，越獄開發者可以在設備Bootrom中找到bug，然後越獄問題迎刃而解。只要設備硬件不被更換，不管其運行的iOS版本是什麼，用戶永遠都可以越獄。但如今，黑客們再也無法進入bootrom。

“iOS設備的Bootrom最近幾年來越來越小，但我們現在連內存鏡像都無法獲取。即便現在已經完全控制了整部手機，我們還是無法看到bootrom。如果不能獲取bootrom的內存鏡像，我們就不能輕松地查看代碼並從中發現錯誤，”王表示。之所以會這樣，是因為在iPhone 5完全啟動之後，系統會自動隱藏bootrom。自從著名越獄工具“Limera1n”（中文俗稱“綠雨”）利用了iPhone 4和3GS的一個未公開Bootrom漏洞之後，蘋果就修復了該漏洞並從此關上了bootrom的大門。

蘋果修復bootrom的原因僅僅是為了防止越獄嗎？

“似乎的確如此，因為除了越獄黑客，誰還會在乎讀取bootrom呢？讀取bootrom的一般用途不大，甚至不能幫助黑客運行病毒，”王說。

如今，由於沒有可用的bootrom漏洞，黑客們需要找到多個漏洞，才有可能向用戶提供完整的越獄解決方案。黑客們需要代碼注入漏洞（將代碼注入到操作系統中），以及提升代碼優先級的漏洞，獲取修改系統的權限。後一個漏洞有時與代碼注入漏洞是相同的。

然後還需要有一個內核注入代碼，其作用是獲得對操作系統不受限制的操作權限，並命令內核停止檢查代碼簽名。而到了iOS 6，黑客們還需要一個漏洞繞過ASLR（地址空間布局隨機化）的限制。ASLR會使得內核在內存中的地址變得隨機可變。

蘋果之所以不讓越獄者看到內核在內存中的地址，正是為了防止黑客篡改內核，大衛·王表示。因此，黑客們還需要一個能夠繞過ASLR的漏洞，這一漏洞可能與提升代碼優先級或內核注入的漏洞相同。

此外，還需要有一個完美越獄的漏洞，以使得越獄能夠在任何時候iPhone啟動時運行。

沒錯，越獄需要非常多的漏洞。


越獄簡史

為了充分理解iPhone越獄這些年來是如何變得越來越困難的，我們需要對越獄的歷史稍加了解，以理解越獄這些年來的變化和當前的情況。

在iPhone 3G發布之後，一款名為“Pwnage Tool”的工具橫空出世。它基於bootrom漏洞而開發，允許黑客更改設備上的軟件。簡單說來，這個過程類似於改變一台電腦上的軟件--就像是在一台運行Windows的電腦中安裝Linux操作系統。在越獄iPhone之後，Pwnage Tool為黑客們提供了強大的修改系統的能力。

在iPhone 3GS發布之後，舊的漏洞仍然沒有被修復。直到iPhone 3GS上市很久之後，蘋果才決定臨時暫停生產，以徹底解決該問題。從那之後，新出廠的iPhone 3GS均采用了新的bootrom，舊漏洞被徹底封堵。

“蘋果的動機很簡單，iPhone存在漏洞而他們希望將其封堵，”Cydia之父傑·弗里曼（Jay Freeman）說。“但至於為何蘋果認為那個漏洞比其他未被修復的漏洞更加重要，我也不得而知。我們再也沒有發現過比那個漏洞更好的漏洞。”

但這並未阻止黑客們繼續尋找其他入侵iPhone的方法。

在蘋果修復那個bootrom漏洞之後，越獄開發者很快就發現了其他的bootrom漏洞，但新發現的漏洞只能對系統進行臨時性的更改。黑客可以使手機暫時以新內核啟動手機，加載硬盤並修改iPhone上的軟件--換句話說，運行所有修改iPhone系統的越獄應用。

但在這種情況下，系統內核仍然是受保護的，因為bootrom仍未被修改或破壞。這就意味著，一旦手機重啟，系統就會恢復非越獄狀態。這種越獄方式又被稱為“非完美越獄”，即每一次iPhone重啟之後，用戶都必須將手機插到電腦中重新越獄。到iPhone 4發布時，越獄開發者不得不在手機內置的應用中尋找漏洞，以獲得修改內核的權限，進而允許用戶修改手機上的其他軟件。

JailbreakMe利用了iOS瀏覽器的漏洞（騰訊科技配圖）

最著名的例子莫過於黑客@comex創立的JailbreakMe網站。JailbreakMe利用了iPhone瀏覽器中的漏洞，將瀏覽器攻擊至崩潰並獲取控制權，然後將入侵代碼注入到內核之中。

“Comex簡直就是天才，”弗里曼說。“他在大量的代碼中發現了非常多的漏洞。”

Comex後來被蘋果招攬至旗下，但據消息透露，他在蘋果從事的工作與反越獄並無關系。大衛·王表示，用戶無需對蘋果招攬越獄社區人才過分擔憂。

在找到漏洞之後，下一步就是讓越獄能夠“完美”運行--即重啟之後就直接進入越獄狀態。這需要越獄在手機關機之後仍然保留部分代碼，從而在開機的過程中修改系統軟件，解除系統的安全防護。由於無法找到類似於iPhone 3G或3GS的bootrom漏洞，上文所述的方法就是眼下完成非完美越獄的最好方法。


新的iPhone意味著需要尋找新的漏洞

每當一款新iPhone問世，尋找漏洞的工作就要重新開始。iPhone 4的越獄就是一個典型的例子。

2010年10月10日，就在一些越獄社區成員即將發布一款名為SHAtter的越獄工具時，著名黑客Geohot出人意料地搶先發布了iPhone 4和iPad的越獄工具Limera1n。隨後，在@Pod2G、@Comex和@i0n1c等黑客的後續努力下，iPhone 4的完美越獄成功完成。

越獄工具Limera1n利用了iPhone 4和iPad的bootrom漏洞

Limera1n之所以意義重大，是因為與JailbreakMe利用較易修復的瀏覽器軟件漏洞不同的是，bootrom漏洞在整個設備的壽命周期中都是有效的。

“想要升級bootrom，除非讓用戶扔掉自己的手機，然後買一部新的。因此，蘋果永遠無法阻止Limera1n，”弗里曼解釋道。“Limera1n會永遠存在於每一部出廠時就帶有漏洞的設備中，”除非蘋果像3GS時那樣中斷整個生產線以修復漏洞。

在iPhone 4S發布之後，蘋果與越獄社區的貓鼠遊戲仍在繼續。由於Limera1n利用的漏洞在iPhone 4S中被修復，黑客們不得不重新回到了尋找userland漏洞的道路上--userland漏洞是指軟件中存在的漏洞，例如JailbreakMe利用的瀏覽器漏洞。這種漏洞極易被蘋果在下一次固件升級中修復，比如iOS 4、iOS 5、iOS 6和一些較小的固件升級，都曾修復過多個userland漏洞。黑客們將這種情況稱為漏洞的“見光死”（burn），因為一旦公開，這些漏洞就一定會被蘋果封堵。

iPhone 4S發布之後，越獄團隊利用代號為“Corona”的userland漏洞，成功越獄iOS 5.0和iOS 5.0.1。隨後蘋果發布iOS 5.1，修復了這個漏洞。但黑客們並沒有氣餒，他們又開發出了另一款越獄工具absinthe，成功越獄了iOS 5.1和5.1.1。而到了iOS 6，蘋果再一次封堵了漏洞。

“iOS 6在安全方面有重大的提升。iOS 6.1也擁有諸多安全方面的提升，”王說。“我們在越獄iPhone 5時遇到的難題之一就是初始代碼的注入。”

而iPhone 4則不會受到所有這些iOS系統更新的影響。因為Limera1n使用了一個尚未修復的bootrom漏洞，不管運行哪個版本的iOS，iPhone 4都可以被越獄。這就使得人們提出這樣的疑問：如果bootrom漏洞如此強大，為什麼黑客們不去尋找呢？
答案並非如此簡單。

“尋找bootrom漏洞比尋找系統漏洞更加困難，因為bootrom軟件代碼特別短，要在其中找到攻擊的入口很不容易，”弗里曼說。就好比一支身披盔甲的大型軍隊，可能會在某個地方存在軟肋，因而更易遭到敵人的進攻。但小規模的軍隊卻更有可能得到更全面的保護。bootrom的功能主要是驗證其他軟件，它通過USB與系統進行溝通，其中包含的代碼不多。

絕大多數bootrom漏洞都存在於USB設置代碼中，而絕大多數此類漏洞都已經被修復。

有意思的是，蘋果在iPhone 5中采用了新的Lightning接口，因此黑客們有一定的機會在新bootrom中發現漏洞--前提是黑客能夠找到查看bootrom代碼的方法，但如前所述，這一點目前還做不到。

因此到目前為止，越獄開發者的主要任務是尋找非bootrom漏洞，而且這一任務變得越來越艱巨。iPhone 4或iPod touch四代尚未完美越獄，而只是非完美越獄。iPhone 4S或iPhone 5的iOS 6也沒有任何公開的越獄方法。


越獄黑客就像魔術師

作為普通用戶，一般人很難了解到越獄工作的最近狀況。當越獄開發者和其他黑客在Twitter上發帖披露最新進展時，有時僅僅是一個userland漏洞而已。還有一些開發者貼出了自己的設備運行Cydia越獄商店的截圖。但“Cydia之父”弗里曼表示，這些截圖有時僅僅意味著部分越獄--雖然Cydia安裝成功，但許多應用插件未必都能運行。還有一些時候，越獄開發者使用了蘋果自己的開發者工具，該工具允許蘋果的付費開發者在手機上安裝他們自己的代碼。換句話說，看到一款設備運行著Cydia，並不能證明適用於普通用戶的越獄工具開發完畢。

然而，這些截圖有時是越獄工作取得進展的標誌。

“有的越獄工作就像魔術師一樣。你可能知道其他人的魔術是怎麼做的，但那仍然是其他人的魔術，”弗里曼說。“許多黑客都能完成相同的越獄工作。一些人還會在手機上做一些很奇怪的事情。”魔術師入侵的是你的大腦，而黑客們入侵的是手機。

例如，最近兩名黑客@chpwn和@phoenixdev展示的越獄方法是完全合法的，但他們並未獲得更改內核的權限，因此其越獄是“不完整”的，即不能完成人們通常所認為的越獄設備所能做的事情，弗里曼說。“他們只是半越獄。”

很重要的一點是，你必須知道哪個越獄開發者是可信的。盡管未來仍有可能會有某個黑客像當年Comex那樣出乎所有人的意料發布越獄工具，但總的來說，未來的越獄工作主要還是依靠那些多年來持續研究越獄蘋果設備的開發者。


如果黑客成功越獄iPhone 5，用戶會選擇越獄嗎？

但當iPhone 5越獄工具真正發布的時候，更重要的問題將會是，越獄工具還能否像過去幾年那樣吸引到大量的用戶？弗里曼稱，基於過去兩個月的數據統計，全球目前有2278萬台設備正在運行Cydia。當然，這一數字不只是iPhone，同樣還包括了iPad和iPod touch。許多用戶仍然在使用iPhone 4和4S。

過去兩個月運行Cydia的各種設備占比（騰訊科技配圖）

弗里曼表示，在新舊越獄工具發布中間的空檔期，Cydia安裝量往往都會開始下滑，但當下一個重大越獄工具發布之後，Cydia安裝量就會超過以往。

“每一次我們發布越獄工具時，就會重新獲得大量的用戶關注，大量用戶在那段時間裏升級、越獄，然後瀏覽越獄插件並購買產品，”弗里曼說。“這些都是極其活躍的用戶；Cydia安裝高峰期的數量巨大，下滑的速度也很快，甚至超過了用戶有機增長的積累速度，因此越獄工具的整體使用量一直是下滑的。”

越獄插件商店Cydia（騰訊科技配圖）

越獄的時代是否已經終結？

不過，在外界耐心等待iPhone 5越獄出爐的過程中，也會有一些人質疑越獄是否還有任何意義。畢竟，經過多年來的持續改進，蘋果已經在iOS中添加了許多原本只有越獄後才能享受的功能：iOS如今擁有下拉式通知窗口，允許用戶在鎖屏界面設置壁紙等。Facetime如今也可以在AT&T的3G和4G網絡中使用。iPhone還將登陸T-Mobile，T-Mobile用戶再也不用越獄並解鎖iPhone，而是可以直接使用，甚至還可以購買解鎖版的iPhone。平心而論，花錢購買運營商提供的Wi-Fi熱點服務，也比越獄然後安裝Wi-Fi熱點軟件來得更簡單。

而對於那些“調皮”的用戶來說，盜版應用社區Hacklous已經於近期關閉，理由是缺乏足夠多的用戶關注。“我們的社區已經變得毫無活力，”Hacklous創始人稱。

弗里曼認為，iPhone 5越獄工具遲遲未能發布，並非近期用戶對越獄失去興趣的主要原因。之所以會出現用戶對越獄冷淡，是因為近期最熱門設備的越獄工具並不完美。

“iPhone 4或iPod touch四代的iOS 6尚未出現‘足夠好’的越獄工具（即仍然是非完美越獄），”他說，“對於其他更新的設備，更是沒有任何越獄iOS 6的方法，包括去年的iPhone 4S在內。”

“許多人認為越獄的流行度之所以在下降，是因為蘋果做出了非常多的改進，但在我看來越獄仍然相當流行，”大衛·王稱。他在Reddit上發表的那篇關於越獄的帖子瀏覽量暴增，也表明越獄的前景仍然是很可觀的。

他承認，如今的越獄開發者或許沒有像以往那樣與用戶進行足夠的溝通。

“或許我在越獄方面所做的努力沒有達到應有的程度，因為從一定程度上講，這份工作永遠是沒有希望的。永遠都會有人不理解或曲解我們的意思，”他說，“被人誤解的滋味真的很難受。有時我甚至會想幹脆放手不幹了，省得麻煩。”

但他仍然在繼續嘗試。就在上周末，大衛·王和@Pod2G在Twitter上發表推文稱，他們在尋找漏洞方面取得了進展，新的漏洞有望加速公開越獄工具的發布。

@planetbeing和@pod2g在Twitter上宣布尋找iOS 6漏洞的工作取得了進展（騰訊科技配圖）

不管使用什麼方法，iPhone 5的越獄都將為越獄社區帶來新的活力。經過這些年來的發展，越獄社區正在逐步壯大，甚至還舉辦了一次全球越獄開發者大會。至於全球數百萬用戶是否仍有興趣越獄iPhone，或者是否已經對沒有完美越獄的現狀感到滿足，答案只有等iPhone 5的越獄工具發布之後才能揭曉。

當然，與其他黑客一樣，大衛·王從未停止過使用越獄後的設備。“我的iPhone永遠都是越獄狀態，”他說。

或許不久之後的某一天，你的iPhone也可以再一次越獄。

騰訊科技