揭秘iPhone越狱社区：与苹果的猫捉老鼠游戏

niclear88

　越狱并非为盗版，而是能让用户添加苹果不允许安装的应用和功能。越狱社区经过数年的发展，已经变得分工明确。但随着苹果的改进，总体上使用越狱的用户已越来越少。
　　美国科技博客网站TechCrunch近日撰文，披露了一个因苹果iPhone兴盛而壮大起来的神秘群体——越狱社区。文章指出，经过数年发展，越狱社区的运行模式和氛围与以前相比发生了很大变化，越狱者之间更加注重技术分享，同时分工更明确。他们就好像是魔术师，大家明明知道他们的“戏法”只是哗众取宠，但仍然趋之若鹜。

　　成功越狱iPhone 5

　　从技术上讲，iPhone 5已经被成功越狱，只是相关越狱工具尚未公开，大家没有掌握而已。这是因为，黑客们之所以能实现此次功能性越狱，他们发现的一个bug功不可没，在找到另一个替代bug之前，当然不想将其公诸于众，以免苹果了解到这种情况，及时发布补丁修复相关漏洞。此外，iOS 6.1也即将发布，黑客们肯定不希望在此之前公开这个秘密。

　　共有六位黑客参与实施了此次越狱，戴维·王(David Wang)就是其中之一。他近日在社交新闻网站Reddit上宣布了成功越狱iPhone 5的消息：“事实就是，我已在iPhone 5上面实现了对iOS 6.0.2的越狱。”

　　他写道，“这个漏洞对我们来说简直就是天赐良机，让我们明白正在发生什么情况。我们必须能够找到我们试图修改的代码，然后实施破解。否则，我们基本上就是两眼一抹黑，什么也不知道。”

　　最糟糕的情况则是，为了让所有人掌握越狱技巧，黑客们不得不“烧掉”他们发现的那个漏洞——他们现在还不希望这样做。此外，在戴维·王宣布越狱iPhone 5的消息时，又有四个bug被发现了。这也给越狱者发现更多的bug带来了希望。到目前为止，这个领域的进展一切顺利。

　　那么，用户有一天会拥有iPhone 5越狱工具吗？对此，戴维·王给出了肯定的回答，并且希望在今年能够实现这个目标——最起码在下一代iPhone发布以前。寻找漏洞不同于开发应用或建设网站，不见得每天都会有新的进展。相反，这个过程更像是“淘金”，虽然付出了巨大努力，最终仍有可能一无所获。

　　奇特的社区氛围

　　首先，让我们来了解一下越狱。这种活动最初之所以会流行起来，是因为它让用户可以添加苹果不允许安装的应用和功能。用户可以将他们的手机变成WiFi热点，安装定制主题，令其设置更容易访问和控制，让苹果的默认限制派不上用场，等等。部分用户甚至可以解锁iPhone，从而运行于未经许可的运营商网络上。

　　过去，越狱者之间的竞争更加激烈，他们组成了不同的“团队”，如“iPhone开发者团队”(iPhone Dev Team)和Chronic团队。还有一些开发者甚至单枪匹马行动。他们之间相互竞争，希望让自己的“杰作”高出对方一筹，给越狱用户带来惊喜。

　　现如今，越狱者社区的氛围似乎与以前大不相同。只要时机合适，曾经喜欢单枪匹马的开发者也会携手合作，共享技术。越狱者相互之间的竞争越来越少，每个人都各司其职，互不干涉。所有人都会在GitHub(全球最大的社交编程及代码托管网站)上面公开他们的成果，在那个平台上，代码随后会被变成面向用户的越狱工具。

　　据戴维·王介绍，若是以前，同一批开发者会专注于攻克某种设备，现在则不然，一切取决于哪位开发者有时间和精力，“随着时间的推移，团队开始逐步瓦解。团队构架的确不灵光了，因为它宣扬对立、竞争，让你不能与自己欣赏的人合作。现在的构架则更好——我们可以相互合作并分享技术，同时又分工明确。我们不会与整个团队分享技术，而是与我们认为有需要的个人。”

　　或许，我们应该称之为一种更加友好、更加绅士的黑客氛围。这一次，对iPhone 5的越狱就稍晚于预期，但这不仅是因为iOS 6操作系统的安全性得到增强，而且还因为越狱者的时间有限，比如他们白天都有自己的工作。戴维·王有着一份与越狱毫不相关的全职工作，而另一位越狱iPhone 5的黑客“@Pod2g”则一直忙着开发自己的iOS应用。

　　逐一攻破系统漏洞

　　另外，在寻找漏洞和发布越狱工具的过程中，还有其他一些事情也会令越狱团队的工作迟迟得不到进展。例如，找到不同设备间的代码区别，测试越狱流程等。一旦开始进行越狱，还有一项工作颇具挑战性，那就是找到技术水平足够高，同时嘴又很严的测试者。戴维·王说：“成功越狱有时候需要几周，有时候则几天就搞定了。”

　　以前，越狱并不需要这么辛苦。越狱者可以在bootrom(iPhone上的第一个重要代码)中找到一个漏洞，然后逐一攻破。只要iPhone不被更换，无论它们运行的iOS版本高低，用户都可以全面控制。但如今，越狱者甚至都无法进入bootrom。

　　戴维·王说：“这些bootrom越来越小，我们甚至已经没办法从中提取dump文件。即便我们破译了代码，完全控制了iPhone，仍然无法看到bootrom。如果不能获取dump文件，我们就不能轻松找到代码并发现错误。”

　　原因就是，在iPhone 5完全启动时，bootrom就会被自动隐藏起来。这还要从iPhone 4的完美越狱工具“Limera1n”说起，这个工具利用了iPhone 4上一个未被发现的bootrom漏洞，实现了完美越狱，但随后苹果便修复了这个bootrom漏洞。

　　苹果修复bootrom漏洞仅仅是为了防止越狱吗？戴维·王回答说，“应该是这样，因为如果不是为了越狱，谁会去关注bootrom呢？用户真的不会因读取bootrom而使手机感染了病毒。”

　　由于没有可用的bootrom漏洞，黑客现在需要找到更多的漏洞，才能向用户提供完整的越狱解决方案。黑客们需要代码植入型bug(将代码植入操作系统中)，以及能提升代码优先级别的bug，才能对手机操作系统的设置做出修改。这两个bug有时甚至是一样的。

　　接着，他们还需要一个内核植入型bug，从而可以不受限制地访问操作系统，命令内核停止检查代码签名。最近，由于iOS 6的安全性得到增强，黑客还需要找到另外一个漏洞，以绕过内核ASLR(地址空间布局随机化)的限制。ASLR会将内核分散到内存中。

　　戴维·王说，苹果不让越狱者看到内核在内存中的位置，正是为了防止他们修改代码。因此，他们还需要找到一个bug，能够突破内核ASLR设置的障碍，而这个bug可能与提升代码优先级别或内核植入型bug相同。

　　最后，黑客们还需要一个完美越狱的bug，让iPhone无论在何时何地启动时，都能实施越狱。越狱的确需要找到很多bug。

　　越狱简史

　　为了全面认识iPhone越狱这些年来为何变得越来越难，我们就需要对越狱的历史有所了解。只有这样，我们才能明白现在的情况。

　　在苹果发布iPhone 3G之后，一款名为“Pwnage Tool”的越狱工具出现了。它是基于一个bootrom漏洞开发，让黑客可以更改iPhone上的操作系统。这基本上就像是在修改电脑上的软件。你的电脑本来运行的操作系统是Windows，但你却给它安装了Linux。就越狱 iPhone 而言，这是非常强大的访问策略。

　　后来，在iPhone 3GS上市时，黑客此前越狱中用到的关键bug仍然没有得到修复。过了很长时间以后，苹果才决定暂时停止生产iPhone 3GS，以彻底解决这个问题。恢复生产后，恢复了生产，新一批iPhone 3GS植入了新的bootrom，之前那个被越狱者利用的关键bug不见了。

　　“Cydia之父”杰伊·弗里曼(Jay Freeman)说：“苹果的动机其实很好理解，iPhone存在一个bug，他们希望将它修复。至于苹果为何认为那个bug，比其他未被修复的bug重要，那我就不清楚了。但我们再没找到过比那个更好的bug了。”所谓Cydia，其实就是越狱“应用商店”，让用户可以在iPhone越狱以后安装到上面。

　道高一尺魔高一丈

　　但是，苹果的努力并未阻止黑客继续寻找其他破解iPhone代码的方法。在苹果修复了那个bootrom漏洞之后，越狱者很快就发现了其他的bootrom漏洞，但这些漏洞只能让他们对系统做出暂时的修改。我们再次用上面提到的例子，这就好像是你必须要依靠光盘或U盘来启动Windows，而不能将Windows安装到电脑。

　　在iPhone上面，这意味着越狱者只能暂时用一个新的内核启动手机，而这个内核又不保护iPhone的系统，同时还需要激活硬盘，更改iPhone的系统来做不同的事情。也就是说，运行所有可以更改iPhone行为的越狱应用。

　　但在这种情况下，内核仍然受到保护，因为bootrom未被修改或破坏。这就意味着，在iPhone下一次启动时，此前的越狱就无效了。这种方式被称为“非完美越狱”，即每次重启iPhone，用户都必须再重新越狱一次。等到iPhone 4发布时，越狱者只好从手机内置的程序中寻找漏洞，以便可以找到内核中的bug，只要找到了这个bug，他们就可以用来修改内核，进而更改手机上的其他软件。

　　这方面最典型的案例就是JailbreakMe网站，这个网站由一个名为“@comex”的越狱者创立。JailbreakMe利用了网页浏览器的一个bug，使浏览器陷入瘫痪并进行控制，以便向内核植入任意代码。弗里曼说，“Comex令人太不可思议了。他发现了那么多漏洞。”

　　Comex后来被苹果招至麾下，但听说他在苹果的工作与越狱毫无关系。戴维·王表示，等待越狱的用户不必对苹果从越狱社区挖角过虑。

　　接下来，就是让此次越狱变得“完美”——即无论何时重启iPhone，都能直接进入越狱状态。这需要越狱者在系统中植入某种代码，当iPhone重启时修改系统，解除它的安全防护。没有了bootrom漏洞，比如在iPhone 3G或3GS上面发现的漏洞，那么这便成了实现完美越狱的最好办法。