iPhone越狱团队：黑客如魔术师 已实现iPhone 5越狱

越狱简史

　　为了充分理解iPhone越狱这些年来是如何变得越来越困难的，我们需要对越狱的历史稍加了解，以理解越狱这些年来的变化和当前的情况。

　　在iPhone 3G发布之后，一款名为“Pwnage Tool”的工具横空出世。它基于bootrom漏洞而开发，允许黑客更改设备上的软件。简单说来，这个过程类似于改变一台电脑上的软件--就像是在一台运行Windows的电脑中安装Linux操作系统。在越狱iPhone之后，Pwnage Tool为黑客们提供了强大的修改系统的能力。

　　在iPhone 3GS发布之后，旧的漏洞仍然没有被修复。直到iPhone 3GS上市很久之后，苹果才决定临时暂停生产，以彻底解决该问题。从那之后，新出厂的iPhone 3GS均采用了新的bootrom，旧漏洞被彻底封堵。

　　“苹果的动机很简单，iPhone存在漏洞而他们希望将其封堵，”Cydia之父杰·弗里曼（Jay Freeman）说。“但至于为何苹果认为那个漏洞比其他未被修复的漏洞更加重要，我也不得而知。我们再也没有发现过比那个漏洞更好的漏洞。”

　　但这并未阻止黑客们继续寻找其他入侵iPhone的方法。

　　在苹果修复那个bootrom漏洞之后，越狱开发者很快就发现了其他的bootrom漏洞，但新发现的漏洞只能对系统进行临时性的更改。黑客可以使手机暂时以新内核启动手机，加载硬盘并修改iPhone上的软件--换句话说，运行所有修改iPhone系统的越狱应用。

　　但在这种情况下，系统内核仍然是受保护的，因为bootrom仍未被修改或破坏。这就意味着，一旦手机重启，系统就会恢复非越狱状态。这种越狱方式又被称为“非*越狱”，即每一次iPhone重启之后，用户都必须将手机插到电脑中重新越狱。到iPhone 4发布时，越狱开发者不得不在手机内置的应用中寻找漏洞，以获得修改内核的权限，进而允许用户修改手机上的其他软件。

　　JailbreakMe利用了iOS浏览器的漏洞（腾讯科技配图）

　　最著名的例子莫过于黑客@comex创立的JailbreakMe网站。JailbreakMe利用了iPhone浏览器中的漏洞，将浏览器攻击至崩溃并获取控制权，然后将入侵代码注入到内核之中。

　　“Comex简直就是天才，”弗里曼说。“他在大量的代码中发现了非常多的漏洞。”

　　Comex后来被苹果招揽至旗下，但据消息透露，他在苹果从事的工作与反越狱并无关系。大卫·王表示，用户无需对苹果招揽越狱社区人才过分担忧。

　　在找到漏洞之后，下一步就是让越狱能够“*”运行--即重启之后就直接进入越狱状态。这需要越狱在手机关机之后仍然保留部分代码，从而在开机的过程中修改系统软件，解除系统的安全防护。由于无法找到类似于iPhone 3G或3GS的bootrom漏洞，上文所述的方法就是眼下完成非*越狱的*方法。

新的iPhone意味着需要寻找新的漏洞

　　每当一款新iPhone问世，寻找漏洞的工作就要重新开始。iPhone 4的越狱就是一个典型的例子。

　　2010年10月10日，就在一些越狱社区成员即将发布一款名为SHAtter的越狱工具时，著名黑客Geohot出人意料地抢先发布了iPhone 4和iPad的越狱工具Limera1n。随后，在@Pod2G、@Comex和@i0n1c等黑客的后续努力下，iPhone 4的*越狱成功完成。

　　越狱工具Limera1n利用了iPhone 4和iPad的bootrom漏洞

　　Limera1n之所以意义重大，是因为与JailbreakMe利用较易修复的浏览器软件漏洞不同的是，bootrom漏洞在整个设备的寿命周期中都是有效的。

　　“想要升级bootrom，除非让用户扔掉自己的手机，然后买一部新的。因此，苹果永远无法阻止Limera1n，”弗里曼解释道。“Limera1n会永远存在于每一部出厂时就带有漏洞的设备中，”除非苹果像3GS时那样中断整个生产线以修复漏洞。

　　在iPhone 4S发布之后，苹果与越狱社区的猫鼠游戏仍在继续。由于Limera1n利用的漏洞在iPhone 4S中被修复，黑客们不得不重新回到了寻找userland漏洞的道路上--userland漏洞是指软件中存在的漏洞，例如JailbreakMe利用的浏览器漏洞。这种漏洞极易被苹果在下一次固件升级中修复，比如iOS 4、iOS 5、iOS 6和一些较小的固件升级，都曾修复过多个userland漏洞。黑客们将这种情况称为漏洞的“见光死”（burn），因为一旦公开，这些漏洞就一定会被苹果封堵。

　　iPhone 4S发布之后，越狱团队利用代号为“Corona”的userland漏洞，成功越狱iOS 5.0和iOS 5.0.1。随后苹果发布iOS 5.1，修复了这个漏洞。但黑客们并没有气馁，他们又开发出了另一款越狱工具absinthe，成功越狱了iOS 5.1和5.1.1。而到了iOS 6，苹果再一次封堵了漏洞。

　　“iOS 6在安全方面有重大的提升。iOS 6.1也拥有诸多安全方面的提升，”王说。“我们在越狱iPhone 5时遇到的难题之一就是初始代码的注入。”

　　而iPhone 4则不会受到所有这些iOS系统更新的影响。因为Limera1n使用了一个尚未修复的bootrom漏洞，不管运行哪个版本的iOS，iPhone 4都可以被越狱。这就使得人们提出这样的疑问：如果bootrom漏洞如此强大，为什么黑客们不去寻找呢？

　　答案并非如此简单。

　　“寻找bootrom漏洞比寻找系统漏洞更加困难，因为bootrom软件代码特别短，要在其中找到攻击的入口很不容易，”弗里曼说。就好比一支身披盔甲的大型军队，可能会在某个地方存在软肋，因而更易遭到敌人的进攻。但小规模的军队却更有可能得到更全面的保护。bootrom的功能主要是验证其他软件，它通过USB与系统进行沟通，其中包含的代码不多。

　　绝大多数bootrom漏洞都存在于USB设置代码中，而绝大多数此类漏洞都已经被修复。

　　有意思的是，苹果在iPhone 5中采用了新的Lightning接口，因此黑客们有一定的机会在新bootrom中发现漏洞--前提是黑客能够找到查看bootrom代码的方法，但如前所述，这一点目前还做不到。

　　因此到目前为止，越狱开发者的主要任务是寻找非bootrom漏洞，而且这一任务变得越来越艰巨。iPhone 4或iPod touch四代尚未*越狱，而只是非*越狱。iPhone 4S或iPhone 5的iOS 6也没有任何公开的越狱方法。

【本文由投资界合作伙伴腾讯科技授权发布，本平台仅提供信息存储服务。】如有任何疑问，请联系（editor@zero2ipo.com.cn）投资界处理。