从技术上来说,iPhone 5 实际上已经被越狱成功,这里说的越狱当然是指完美越狱。很遗憾,越狱用户还不能拥有这梦寐以求的工具。原因是,黑 客虽然已经发现了可越狱的漏洞,但这是一个很好利用的漏洞,黑客认为,在找到另一个可越狱的漏洞之前,暂时不发越狱,不然这个漏洞就会被苹果封杀,白白牺 牲。而且,iOS 6.1 的脚步声越来越近了,黑客都明白此时不可轻举妄动,这是与苹果玩猫抓老鼠游戏的规则之一。 目前来看,最为活跃的 iOS 破解者就剩 Planetbeing 了,他本名叫 David Wang,是一名亚裔美国人。他此前在社交网络上公开承认:“其实,我已经完美越狱了我 iPhone 5 上的 iOS 6.0.2。” David 最近接受 tech crunch 科技网站的采访时也说道:“这个漏洞真的很好,因为它让我们理清了状况。我们必须能够看清我们试图修改的代码,从中获取一个 Dump 文件。否则,我们基本上是一头雾水。” 最 糟糕的情况是,为了能让广大越狱用户都用上完美越狱,黑客们必须牺牲他们发现的这些漏洞(原因很明显,一旦公开越狱,苹果就会赶紧封死这个越狱漏洞。)黑 客们还不想那么快牺牲。另外,在 Planetbeing 宣布越狱成功的时候,实际上他手头捏着 iPhone 5 的四个漏洞,所以他们相信肯定还能 找到更多漏洞,何必这么早就牺牲这个优质漏洞呢?由此看来,我们的越狱前景非常光明,大家不必绝望。 说了那么多,到底越狱用户能否拥有 iPhone 5 越狱?David 的回答是肯定的。那么何时可越狱呢?David 当然希望尽快,至少会在下一代 iPhone 发布前公开越狱。 回忆过去 从苹果产品找漏洞可不像开发应用或网站那样可以每天知道开发进程。查找漏洞有点类似淘金,你不能预料到哪天能淘到金子,也有可能一无所获。 即 使你刚刚接触苹果 iOS 设备,你或许也有听闻过越狱的作用。越狱可以让你给 iOS 设备添加一些苹果不允许的功能。Cydia 是越狱用户的天堂, 在这里可以找到各式各样的插件,而大部分插件是被苹果拒之门外的宝贝。解锁和越狱也分不开,买了合约机的用户迫切需要解锁工具来摆脱运营商的束缚,自由选 择自己想用的运营商网络。 在 过去,iOS 的破解者们竞争意识非常强烈。当时越狱黑客们分成两大团队,一个叫 iPhone Dev Team,红雪是他们的得意之作;另一个 叫 Chronic Team,他们的绿毒也做出过不少贡献。也有一些天才级别的越狱黑客选择单干。这些黑客们互相明争暗斗,都希望赶在别人发布前让对方 或越狱用户大吃一惊。 那时候每一款 iOS 设备的破解者都是不同的人,David 解释称,谁有时间和精力都可以加入破解工作。他说: “那会儿,越狱团队之间互相竞争,你不能跟其他团队的人合作。现在好多了,现在每个人都齐心协力,共享资源,但这种共享不是跟整个团队共享,而是跟我们认 为谁值得获知这些资源的个人分享。” 如今,最新的 iPhone 越狱已经不像过去那么迅速发布了,不仅仅是因为 iOS 6 加大了破解 的难度,而且也因为黑客们放在越狱的时间越来越少。黑客们都有自己用来养家糊口的工作,只能利用下班后的时间来研究。比如 David,他日常的工作跟越 狱完全不相关,而 Pod2g,他也在忙着搞自己的 iOS 应用开发。 查找漏洞 找漏洞,发越狱,事情并不是那么简单,期间还会有些拖延时间的事情。比如说,黑客要找出不同设备中代码的不同,并开始测试。即使完成越狱,他们还要找到可以信得过的人来测试,避免漏洞被泄露,这是最难的一个步骤。David 解释:“这些过程需要几天甚至几周的时间。” 越狱不是一直都那么难。 以前,黑客可以在 bootrom 中找到 bug,bootrom 是 iPhone 上第一个最大的代码。不管这部 iPhone 运行的是什么版本的系统,他们都能通过 bootrom 掌控这部 iPhone。可是现在,黑客已经没办法进入 bootrom。 David 说:“bottom 变 得越来越小,我们甚至已经没办法从中提取 dump 文件。即使我们能掌握到支撑这部 iPhone 运行的代码,就像现在,我们也看不 到 bootrom。如果我们提取不出 dump 文件,我们就不能轻松找到代码和错误。”解释一下为什么现在已经看不到 bootrom。因为 当 iPhone 5 完全开启后,bootrom 就被隐藏起来。这要从 iPhone 4 完美越狱工具 Limera1n 说 起,Limera1n 利用了 iPhone 4 未被披露的一个 bootrom 漏洞来实现完美越狱,然而,也从那时候开始,苹果封死了这 个 bootrom 漏洞。 是不是 Limera1n 的越狱漏洞提醒了苹果去修复呢? David 说:“肯定是的。因为如果不是为了越狱,谁会去关注 bootrom 呢?bootrom 是感染不到病毒的。” 今天,再也没有 bootrom 漏洞了,黑客必须找到更多的漏洞才能向用户公布一个完整的越狱工具。他们必须找到代码植入型的 bug,也就是直接放在操作系统上的代码,这样才能对操作系统做出修改。 黑 客还必须找到一个内核植入型的 bug,这样才可以毫无障碍地进入操作系统,“告诉”内核停止验证代码签名。对于 iOS 6 的越狱,黑客还必须找到方 法解决内核地址空间布局随机化(ASLR)带来的麻烦,因为 ASLR 将内核分散到内存中,这样内核代码的位置就处于不可预测的境况,恶意代码访问系统 时就难以定位系统功能的位置。苹果的目的就是不让黑客知道内核代码在内存的哪个位置,黑客就不能对内核代码做出修改了。这是黑客必须攻破的难题。 最后,黑客还必须要找出一个完美 bug,从而实现完美越狱。没错,黑客需要查找大量的 bug,而且是苹果自己都没发现的 bug。 越狱简史 要想了解这些年来,越狱如何变得越来越困难,你首先要了解越狱的简史。了解它的过去,才能明白现在的情况。 iPhone 3G 发 布后,一款叫 PwnageTool 的越狱工具出现。它的实现是基于一个 bootrom 漏洞,允许 iPhone 黑客修改设备上的操作系统。基本 上就如同修改电脑的操作系统。打个比方,你的电脑运行的是 Windows,而你在电脑上安装了 Linux。就越狱 iPhone 而言,这是非常强大 的方法。 接着,iPhone 3GS 发布,此前越狱中用到的关键 bug 还在。直到苹果有一天决定暂时停止制造以解决这个 bug。后来 iPhone 3GS 恢复了生产,但新一批货已经没有了此前的越狱漏洞,而是植入了新的 bootrom。 Cydia 之父 Jay Freeman 说:“他们(苹果)的动机肯定是要修复这个 bug。但至于为什么苹果认为解决这个 bug 比解决其他任何一个 bug 更重要,我倒不是很明白。我们后来再也找不到比这更好的漏洞了。” 这并没有阻止黑客研究其他的方法来攻破 iPhone 的代码。 在 苹果修复了 bootrom 的 bug 后不久,越狱黑客又发现了其他的 bootrom bug,但都是些暂时更改系统的漏洞而已。就类似于你必须要 依靠光盘或 U 盘来启动 Windows,而不能将 Windows 安装到电脑。回到 iPhone 上是指,越狱用户只能暂时用一个新的内核启 动 iPhone 和更改系统,但是在下次启动 iPhone 时,越狱就消失了,这就是我们所说的“不完美”越狱。因为这种越狱方法并不能真正修 改 bootrom,原先的内核还是处于受保护状态的。每次重启 iPhone,用户都必须再重新越狱一次。iPhone 4 发布后,黑客必须 在 iPhone 程序中找到一个 bug,利用这个 bug 来访问内核的 bug,从而修改内核。 越狱史上最辉煌的时期是一个叫 JailbreakMe 网站的出现,由天才 Comex 发布。这种方法利用了网页浏览器的一个 bug,使浏览器瘫痪,从而控制了浏览器,并植入任意的代码到内核。 Freeman 说:“Comex 非常搞笑。他能找到大量各种各样的漏洞。” Comex 后来被苹果聘用,不过听说他不是负责反越狱工作。David 告诉记者,等待越狱的用户们无需过多担心苹果聘用越狱界的任何人。 有了不完美越狱,接下来就是如何让它变得完美了,也就是让 iPhone 无论经过多少次重启都能保留越狱。没有了 bootrom 的 bug,实现完美越狱最好的办法就是扫清设备启动时引起系统错误的代码。 新 iPhone,新方法 每次新款 iPhone 一发布,黑客就要开始新一轮的漏洞查找工作。 2010 年 10 月 10 日 是一个值得纪念的日子。那时候,一些破解者已经蓄势待发,准备公开一个叫 SHAtter 的工具。可是他们还没来得及公布,神奇小子 Geohot 从 半路杀了出来,公布了他的 Limera1n 漏洞,针对 iPhone 4。随后,包括 Pod2g、Comex 和 i0n1c 在内的其他黑客 把 Limera1n 变成完美越狱功能。 Limera1n 很重要,因为跟 JailbreakMe 网站式越狱不 同,Limera1n 利用的 bootrom 漏洞可以保留得更长久一些,而 JailbreakMe 利用了浏览器的漏洞,很快就被苹果修复。 Freeman 解释:“要想修复 bootrom 的漏洞,苹果必须推出新一代 iPhone。所以苹果拿 Limera1n 没办法。凡是包括这 个 bootrom 漏洞的 iOS 设备都可以被越狱。”还有一种情况是,如果苹果停止生产当年的 iPhone(iPhone 4),正如过去苹果对 付 iPhone 3GS 越狱那样,那么购买新一批 iPhone 4 的用户就没办法利用 Limera1n 越狱了。 iPhone 4S 发 布后,越狱黑客与苹果之间老鼠与猫的比赛还在继续。Limera1n 利用的漏洞已经消失。黑客又得回头查找基于 userland 的漏洞,也就是存在 于软件上的漏洞,比如 JailbreakMe 利用的浏览器漏洞。这类型的漏洞往往在苹果发布固件升级时被修复,用黑客的行话来说,这是在“烧掉”漏 洞。 Corona 是一个 userland 漏洞的名称,可用来越狱运行 iOS 5.0 和 5.0.1 的 iPhone 4S。苹 果发布了 iOS 5.1 后,Corona 这个漏洞就被修复了。于是,黑客有开发出另一个越狱工具 Absinthe,用 于 iOS 5.1 和 5.1.1 的完美越狱。苹果发布 iOS 6,Absinthe 的漏洞又没了。 David 解释道:“iOS 6 在安全方面有很大的改善。iOS 6.1 的改善会更大。” 大家可能会问,iPhone 4 越狱不受固件升级的影响,因为 Limera1n 利用的是一个不可修复的 bootrom 漏洞。既然 bootrom 漏洞那么强大,为什么黑客不继续找 bootrom 漏洞来越狱 iPhone 5 呢? 事情不是那么简单。 Freeman 回 答:“查找 bootrom 漏洞更困难,因为那里的软件更少。我们称之为攻击表面。”他比喻为一个规模很大的部队,你或许能找到一个可以攻入的缝隙;而 规模小的部队反而防御更坚固。bootrom 的作用是验证其他的软件,主要是通过 USB,所以本身包含的代码不多。 大部分 bootrom 漏洞已经在 USB 设置代码中被发现,但大部分也已经被修复。 然而在 iPhone 5,苹果使用了 Lightning 连接口,自然要采用新的 bootrom,这给黑客留下了查找新 bootrom 漏洞的机会。可惜他们找不到。 所以现在的工作是查找非 bootrom 漏洞。难度加大了。现在 iPhone 4 和第四代 iPod touch 的 iOS 6 越狱也只能达到不完美越狱的地步。iPhone 4S 和 iPhone 5 甚至连向大众公布的不完美越狱工具都没有。 犹如与魔术师打交道 很 难判断现在的越狱情况如何。网络上经常会出现一些越狱开发者公布所谓的越狱照片或视频,声称自己已经越狱了 iOS 6。但 Cydia 之父告诉我们, 即使看到已有 Cydia 的设备也不能说明已经完全越狱,还要看能不能运行一些越狱应用。也有些开发者是利用了苹果提供的开发者工具,在设备安装自己的 代码。总而言之,今时今日,在设备安装了 Cydia 已经不能证明越狱即将发布。 不过有时候可以证明越狱的一个进展。 Freeman 说: “就像跟一个魔术师打交道。你可能知道魔术师的魔术是怎么变的,但他们就是要拿来骗人。有些人就是喜欢用这种行为哗众取宠。”比如说之 前 chpwn 和 phoenixdev 的越狱演示不假,但他们没有修改内核,所以还不算是完全的越狱,不能实现越狱后的大多数好处。“只能算是半桶 水的越狱。” 越狱用户必须要从中选择一些信得过的越狱来源。最好是过去几年来都致力于 iOS 越狱的黑客,但我们也不排除会有黑马杀出来。 越狱会有多少追随者? 越狱到底有多受欢迎?Cydia 之父解释,每次越狱工具发布,Cydia 的安装率都会飙升。我们从一些数据去证明越狱受欢迎的程度。 越狱的美好时光逝去了吗? 越狱进入沉寂时期,于是有人开始质疑,不会再有越狱了吗?加上苹果也开始采纳一些越狱后用户喜爱的功能,人们开始思考是否有必要再越狱。而且破解软件社区 Hackulous 因为不景气而关闭服务,让人感觉越狱的美好时光似乎就要逝去。 但 越狱界权威的 Cydia 之父和 David Wang 都不认为越狱萧条要怪罪于 iPhone 4S/5 不能越狱。David 说:“我们都认为 是因为苹果对 iPhone 做出的改进。但在我们看来,越狱还是很受欢迎的。”他承认目前正在苦心钻研越狱的黑客跟用户的交流不多。 “我或许没有做出足够的努力跟用户交流,因为有时候很令人绝望。总有人不会去看你说了什么,或者会歪曲你所说的话。我们很难不让大家歪曲,所以有时候我们都懒得说话了。” 好在 David 还没有完全放弃跟用户分享他的进展。最近他告诉我们他跟 Pod2g 又找到了两个漏洞。 iPhone 5 越狱可能会催生出一批新的黑客进入越狱界。从大家对越狱的关注来看,仍有不少用户在等待着 iOS 6 的越狱。对一些用户来说,他们甚至离不开越狱。比如 Davdi Wong,他说:“我的 iPhone 永远是越狱的。” 或许很快,我们的 iPhone 也可以像他的那样被越狱。
