旗下微信矩阵:

iPhone越狱团队:黑客如魔术师 已实现iPhone 5越狱

“这个漏洞特别巧妙,因为它使我们能够深入了解系统,”大卫·王说。“我们需要看到那些我们试图修改的代码--然后抓取其内存镜像(该过程被称为dump)。如果做不到这一点,我们基本上就是在黑暗中工作。”
2013-01-23 07:57 · 腾讯科技 张和

越狱简史

  为了充分理解iPhone越狱这些年来是如何变得越来越困难的,我们需要对越狱的历史稍加了解,以理解越狱这些年来的变化和当前的情况。

  在iPhone 3G发布之后,一款名为“Pwnage Tool”的工具横空出世。它基于bootrom漏洞而开发,允许黑客更改设备上的软件。简单说来,这个过程类似于改变一台电脑上的软件--就像是在一台运行Windows的电脑中安装Linux操作系统。在越狱iPhone之后,Pwnage Tool为黑客们提供了强大的修改系统的能力。

  在iPhone 3GS发布之后,旧的漏洞仍然没有被修复。直到iPhone 3GS上市很久之后,苹果才决定临时暂停生产,以彻底解决该问题。从那之后,新出厂的iPhone 3GS均采用了新的bootrom,旧漏洞被彻底封堵。

  “苹果的动机很简单,iPhone存在漏洞而他们希望将其封堵,”Cydia之父杰·弗里曼(Jay Freeman)说。“但至于为何苹果认为那个漏洞比其他未被修复的漏洞更加重要,我也不得而知。我们再也没有发现过比那个漏洞更好的漏洞。”

  但这并未阻止黑客们继续寻找其他入侵iPhone的方法。

  在苹果修复那个bootrom漏洞之后,越狱开发者很快就发现了其他的bootrom漏洞,但新发现的漏洞只能对系统进行临时性的更改。黑客可以使手机暂时以新内核启动手机,加载硬盘并修改iPhone上的软件--换句话说,运行所有修改iPhone系统的越狱应用。

  但在这种情况下,系统内核仍然是受保护的,因为bootrom仍未被修改或破坏。这就意味着,一旦手机重启,系统就会恢复非越狱状态。这种越狱方式又被称为“非*越狱”,即每一次iPhone重启之后,用户都必须将手机插到电脑中重新越狱。到iPhone 4发布时,越狱开发者不得不在手机内置的应用中寻找漏洞,以获得修改内核的权限,进而允许用户修改手机上的其他软件。

iPhone越狱幕后团队揭秘:黑客如魔术师

  JailbreakMe利用了iOS浏览器的漏洞(腾讯科技配图)

  最著名的例子莫过于黑客@comex创立的JailbreakMe网站。JailbreakMe利用了iPhone浏览器中的漏洞,将浏览器攻击至崩溃并获取控制权,然后将入侵代码注入到内核之中。

  “Comex简直就是天才,”弗里曼说。“他在大量的代码中发现了非常多的漏洞。”

  Comex后来被苹果招揽至旗下,但据消息透露,他在苹果从事的工作与反越狱并无关系。大卫·王表示,用户无需对苹果招揽越狱社区人才过分担忧。

  在找到漏洞之后,下一步就是让越狱能够“*”运行--即重启之后就直接进入越狱状态。这需要越狱在手机关机之后仍然保留部分代码,从而在开机的过程中修改系统软件,解除系统的安全防护。由于无法找到类似于iPhone 3G或3GS的bootrom漏洞,上文所述的方法就是眼下完成非*越狱的*方法。

新的iPhone意味着需要寻找新的漏洞

  每当一款新iPhone问世,寻找漏洞的工作就要重新开始。iPhone 4的越狱就是一个典型的例子。

  2010年10月10日,就在一些越狱社区成员即将发布一款名为SHAtter的越狱工具时,著名黑客Geohot出人意料地抢先发布了iPhone 4和iPad的越狱工具Limera1n。随后,在@Pod2G、@Comex和@i0n1c等黑客的后续努力下,iPhone 4的*越狱成功完成。

iPhone越狱幕后团队揭秘:黑客如魔术师

  越狱工具Limera1n利用了iPhone 4和iPad的bootrom漏洞

  Limera1n之所以意义重大,是因为与JailbreakMe利用较易修复的浏览器软件漏洞不同的是,bootrom漏洞在整个设备的寿命周期中都是有效的。

  “想要升级bootrom,除非让用户扔掉自己的手机,然后买一部新的。因此,苹果永远无法阻止Limera1n,”弗里曼解释道。“Limera1n会永远存在于每一部出厂时就带有漏洞的设备中,”除非苹果像3GS时那样中断整个生产线以修复漏洞。

  在iPhone 4S发布之后,苹果与越狱社区的猫鼠游戏仍在继续。由于Limera1n利用的漏洞在iPhone 4S中被修复,黑客们不得不重新回到了寻找userland漏洞的道路上--userland漏洞是指软件中存在的漏洞,例如JailbreakMe利用的浏览器漏洞。这种漏洞极易被苹果在下一次固件升级中修复,比如iOS 4、iOS 5、iOS 6和一些较小的固件升级,都曾修复过多个userland漏洞。黑客们将这种情况称为漏洞的“见光死”(burn),因为一旦公开,这些漏洞就一定会被苹果封堵。

  iPhone 4S发布之后,越狱团队利用代号为“Corona”的userland漏洞,成功越狱iOS 5.0和iOS 5.0.1。随后苹果发布iOS 5.1,修复了这个漏洞。但黑客们并没有气馁,他们又开发出了另一款越狱工具absinthe,成功越狱了iOS 5.1和5.1.1。而到了iOS 6,苹果再一次封堵了漏洞。

  “iOS 6在安全方面有重大的提升。iOS 6.1也拥有诸多安全方面的提升,”王说。“我们在越狱iPhone 5时遇到的难题之一就是初始代码的注入。”

  而iPhone 4则不会受到所有这些iOS系统更新的影响。因为Limera1n使用了一个尚未修复的bootrom漏洞,不管运行哪个版本的iOS,iPhone 4都可以被越狱。这就使得人们提出这样的疑问:如果bootrom漏洞如此强大,为什么黑客们不去寻找呢?

  答案并非如此简单。

  “寻找bootrom漏洞比寻找系统漏洞更加困难,因为bootrom软件代码特别短,要在其中找到攻击的入口很不容易,”弗里曼说。就好比一支身披盔甲的大型军队,可能会在某个地方存在软肋,因而更易遭到敌人的进攻。但小规模的军队却更有可能得到更全面的保护。bootrom的功能主要是验证其他软件,它通过USB与系统进行沟通,其中包含的代码不多。

  绝大多数bootrom漏洞都存在于USB设置代码中,而绝大多数此类漏洞都已经被修复。

  有意思的是,苹果在iPhone 5中采用了新的Lightning接口,因此黑客们有一定的机会在新bootrom中发现漏洞--前提是黑客能够找到查看bootrom代码的方法,但如前所述,这一点目前还做不到。

  因此到目前为止,越狱开发者的主要任务是寻找非bootrom漏洞,而且这一任务变得越来越艰巨。iPhone 4或iPod touch四代尚未*越狱,而只是非*越狱。iPhone 4S或iPhone 5的iOS 6也没有任何公开的越狱方法。

【本文由投资界合作伙伴腾讯科技授权发布,本平台仅提供信息存储服务。】如有任何疑问,请联系(editor@zero2ipo.com.cn)投资界处理。