美國科技博客網站TechCrunch近日撰文,披露了一個因蘋果iPhone興盛而壯大起來的神秘群體——越獄社區。文章指出,經過數年發展,越獄社區的運行模式和氛圍與以前相比發生了很大變化,越獄者之間更加注重技術分享,同時分工更明確。他們就好像是魔術師,大家明明知道他們的「戲法」只是譁眾取寵,但仍然趨之若鶩。
越獄並非為盜版,而是能讓用戶添加蘋果不允許安裝的應用和功能。越獄社區經過數年的發展,已經變得分工明確。但隨著蘋果的改進,總體上使用越獄的用戶已越來越少。
成功越獄iPhone5
從技術上講,iPhone5已經被成功越獄,只是相關越獄工具尚未公開,大家沒有掌握而已。這是因為,黑客們之所以能實現此次功能性越獄,他們發現的一個bug功不可沒,在找到另一個替代bug之前,當然不想將其公諸於眾,以免蘋果了解到這種情況,及時發布補丁修復相關漏洞。此外,iOS6.1也即將發布,黑客們肯定不希望在此之前公開這個秘密。
共有六位黑客參與實施了此次越獄,戴維·王(David Wang)就是其中之一。他近日在社交新聞網站Reddit上宣布了成功越獄iPhone5的消息:「事實就是,我已在iPhone 5上面實現了對iOS 6.0.2的越獄。」
他寫道,「這個漏洞對我們來說簡直就是天賜良機,讓我們明白正在發生什麼情況。我們必須能夠找到我們試圖修改的代碼,然後實施破解。否則,我們基本上就是兩眼一抹黑,什麼也不知道。」
最糟糕的情況則是,為了讓所有人掌握越獄技巧,黑客們不得不「燒掉」他們發現的那個漏洞——他們現在還不希望這樣做。此外,在戴維·王宣布越獄iPhone 5的消息時,又有四個bug被發現了。這也給越獄者發現更多的bug帶來了希望。到目前為止,這個領域的進展一切順利。
那麼,用戶有一天會擁有iPhone 5越獄工具嗎?對此,戴維·王給出了肯定的回答,並且希望在今年能夠實現這個目標——最起碼在下一代iPhone發布以前。尋找漏洞不同於開發應用或建設網站,不見得每天都會有新的進展。相反,這個過程更像是「淘金」,雖然付出了巨大努力,最終仍有可能一無所獲。
奇特的社區氛圍
首先,讓我們來了解一下越獄。這種活動最初之所以會流行起來,是因為它讓用戶可以添加蘋果不允許安裝的應用和功能。用戶可以將他們的手機變成WiFi熱點,安裝定製主題,令其設置更容易訪問和控制,讓蘋果的默認限制派不上用場,等等。部分用戶甚至可以解鎖iPhone,從而運行於未經許可的運營商網絡上。
過去,越獄者之間的競爭更加激烈,他們組成了不同的「團隊」,如「iPhone開發者團隊」(iPhone Dev Team)和Chronic團隊。還有一些開發者甚至單槍匹馬行動。他們之間相互競爭,希望讓自己的「傑作」高出對方一籌,給越獄用戶帶來驚喜。
現如今,越獄者社區的氛圍似乎與以前大不相同。只要時機合適,曾經喜歡單槍匹馬的開發者也會攜手合作,共享技術。越獄者相互之間的競爭越來越少,每個人都各司其職,互不幹涉。所有人都會在GitHub(全球最大的社交編程及代碼託管網站)上面公開他們的成果,在那個平臺上,代碼隨後會被變成面向用戶的越獄工具。
據戴維·王介紹,若是以前,同一批開發者會專注於攻克某種設備,現在則不然,一切取決於哪位開發者有時間和精力,「隨著時間的推移,團隊開始逐步瓦解。團隊構架的確不靈光了,因為它宣揚對立、競爭,讓你不能與自己欣賞的人合作。現在的構架則更好——我們可以相互合作並分享技術,同時又分工明確。我們不會與整個團隊分享技術,而是與我們認為有需要的個人。」
或許,我們應該稱之為一種更加友好、更加紳士的黑客氛圍。這一次,對iPhone 5的越獄就稍晚於預期,但這不僅是因為iOS 6作業系統的安全性得到增強,而且還因為越獄者的時間有限,比如他們白天都有自己的工作。戴維·王有著一份與越獄毫不相關的全職工作,而另一位越獄iPhone 5的黑客@Pod2G則一直忙著開發自己的iOS應用。
逐一攻破系統漏洞
另外,在尋找漏洞和發布越獄工具的過程中,還有其他一些事情也會令越獄團隊的工作遲遲得不到進展。例如,找到不同設備間的代碼區別,測試越獄流程等。一旦開始進行越獄,還有一項工作頗具挑戰性,那就是找到技術水平足夠高,同時嘴又很嚴的測試者。戴維·王說:「成功越獄有時候需要幾周,有時候則幾天就搞定了。」
以前,越獄並不需要這麼辛苦。越獄者可以在bootrom(iPhone上的第一個重要代碼)中找到一個漏洞,然後逐一攻破。只要iPhone不被更換,無論它們運行的iOS版本高低,用戶都可以全面控制。但如今,越獄者甚至都無法進入bootrom。
戴維·王說:「這些bootrom越來越小,我們甚至已經沒辦法從中提取dump文件。即便我們破譯了代碼,完全控制了iPhone,仍然無法看到bootrom。如果不能獲取dump文件,我們就不能輕鬆找到代碼並發現錯誤。」
原因就是,在iPhone 5完全啟動時,bootrom就會被自動隱藏起來。這還要從iPhone 4的完美越獄工具「Limera1n」說起,這個工具利用了iPhone 4上一個未被發現的bootrom漏洞,實現了完美越獄,但隨後蘋果便修復了這個bootrom漏洞。
蘋果修復bootrom漏洞僅僅是為了防止越獄嗎?戴維·王回答說,「應該是這樣,因為如果不是為了越獄,誰會去關注bootrom呢?用戶真的不會因讀取bootrom而使手機感染了病毒。」
由於沒有可用的bootrom漏洞,黑客現在需要找到更多的漏洞,才能向用戶提供完整的越獄解決方案。黑客們需要代碼植入型bug(將代碼植入作業系統中),以及能提升代碼優先級別的bug,才能對手機作業系統的設置做出修改。這兩個bug有時甚至是一樣的。
接著,他們還需要一個內核植入型bug,從而可以不受限制地訪問作業系統,命令內核停止檢查代碼籤名。最近,由於iOS 6的安全性得到增強,黑客還需要找到另外一個漏洞,以繞過內核ASLR(地址空間布局隨機化)的限制。ASLR會將內核分散到內存中。
戴維·王說,蘋果不讓越獄者看到內核在內存中的位置,正是為了防止他們修改代碼。因此,他們還需要找到一個bug,能夠突破內核ASLR設置的障礙,而這個bug可能與提升代碼優先級別或內核植入型bug相同。
最後,黑客們還需要一個完美越獄的bug,讓iPhone無論在何時何地啟動時,都能實施越獄。越獄的確需要找到很多bug。
越獄簡史
為了全面認識iPhone越獄這些年來為何變得越來越難,我們就需要對越獄的歷史有所了解。只有這樣,我們才能明白現在的情況。
在蘋果發布iPhone 3G之後,一款名為「Pwnage Tool」的越獄工具出現了。它是基於一個bootrom漏洞開發,讓黑客可以更改iPhone上的作業系統。這基本上就像是在修改電腦上的軟體。你的電腦本來運行的作業系統是Windows,但你卻給它安裝了Linux。就越獄 iPhone 而言,這是非常強大的訪問策略。
後來,在iPhone 3GS上市時,黑客此前越獄中用到的關鍵bug仍然沒有得到修復。過了很長時間以後,蘋果才決定暫時停止生產iPhone 3GS,以徹底解決這個問題。恢復生產後,恢復了生產,新一批iPhone 3GS植入了新的bootrom,之前那個被越獄者利用的關鍵bug不見了。
「Cydia之父」傑伊·弗裡曼(Jay Freeman)說:「蘋果的動機其實很好理解,iPhone存在一個bug,他們希望將它修復。至於蘋果為何認為那個bug,比其他未被修復的bug重要,那我就不清楚了。但我們再沒找到過比那個更好的bug了。」所謂Cydia,其實就是越獄「應用商店」,讓用戶可以在iPhone越獄以後安裝到上面。
越獄,就像一場與蘋果的「貓捉老鼠」遊戲
道高一尺魔高一丈
但是,蘋果的努力並未阻止黑客繼續尋找其他破解iPhone代碼的方法。在蘋果修復了那個bootrom漏洞之後,越獄者很快就發現了其他的bootrom漏洞,但這些漏洞只能讓他們對系統做出暫時的修改。我們再次用上面提到的例子,這就好像是你必須要依靠光碟或U盤來啟動Windows,而不能將Windows安裝到電腦。
在iPhone上面,這意味著越獄者只能暫時用一個新的內核啟動手機,而這個內核又不保護iPhone的系統,同時還需要激活硬碟,更改iPhone的系統來做不同的事情。也就是說,運行所有可以更改iPhone行為的越獄應用。
但在這種情況下,內核仍然受到保護,因為bootrom未被修改或破壞。這就意味著,在iPhone下一次啟動時,此前的越獄就無效了。這種方式被稱為「非完美越獄」,即每次重啟iPhone,用戶都必須再重新越獄一次。等到iPhone 4發布時,越獄者只好從手機內置的程序中尋找漏洞,以便可以找到內核中的bug,只要找到了這個bug,他們就可以用來修改內核,進而更改手機上的其他軟體。
這方面最典型的案例就是JailbreakMe網站,這個網站由一個名為Comex的越獄者創立。JailbreakMe利用了網頁瀏覽器的一個bug,使瀏覽器陷入癱瘓並進行控制,以便向內核植入任意代碼。弗裡曼說,「Comex令人太不可思議了。他發現了那麼多漏洞。」
Comex後來被蘋果招至麾下,但聽說他在蘋果的工作與越獄毫無關係。戴維·王表示,等待越獄的用戶不必對蘋果從越獄社區挖角過慮。
接下來,就是讓此次越獄變得「完美」——即無論何時重啟iPhone,都能直接進入越獄狀態。這需要越獄者在系統中植入某種代碼,當iPhone重啟時修改系統,解除它的安全防護。沒有了bootrom漏洞,比如在iPhone 3G或3GS上面發現的漏洞,那麼這便成了實現完美越獄的最好辦法。
越獄大神Comex後來被蘋果招至麾下,但聽說他在蘋果的工作與越獄毫無關係。
「貓捉老鼠」遊戲
蘋果每次發布新一代iPhone時,越獄者尋找漏洞的努力都要重新開始。iPhone 4的越獄就是一個典型的例子。
2010年10月10日,一個值得紀念的日子。那一天,越獄社區的幾位成員正準備發布一款名為SHAtter的工具,一個名為「Geohot」的黑客卻半路殺出,搶先發布了針對iPhone 4和iPad的越獄工具「Limera1n」。隨後,@Pod2G、@Comex和@i0n1c等黑客也加入了進來,試圖實現對iPhone 4的完美越獄。
Limera1n之所以很重要,是因為跟JailbreakMe網站式越獄不同,前者利用的bootrom漏洞在整個設備的使用壽命期間都是有效的,而後者只是利用了瀏覽器的漏洞,蘋果可以很容易發布補丁進行修復。
弗裡曼解釋說:「想要修復bootrom的漏洞,你必須扔掉舊手機,換一部新的。因此,蘋果總是拿Limera1n沒辦法。Limera1n會存在於每一部出廠時就帶有那個漏洞的設備中。」當然也有例外,那就是暫時停止產品生產,以修復漏洞,就像蘋果以前對付iPhone 3GS越獄那樣。
在iPhone 4S發布時,蘋果與越獄社區之間的「貓捉老鼠」遊戲仍在繼續上演。由於Limera1n利用的bootrom漏洞在iPhone 4S中被修復,黑客們只好重新尋找基於「userland」的漏洞——軟體上存在的漏洞,例如JailbreakMe利用的瀏覽器漏洞。
這種漏洞在被黑客發現並用來開發越獄工具時,它們可能會在蘋果下一次固件升級中得到修復,如iOS 4、iOS 5、iOS 6和一些較小的固件升級。黑客們將這個過程稱為是「燒掉」漏洞,因為蘋果總是能夠推出補丁修復,所以它們用過一次就失去了效用。
「Corona」是一個userland漏洞的名稱,用來越獄搭載iOS 5.0和5.0.1的iPhone 4S。蘋果發布iOS 5.1後,這個Corona漏洞也不見了。但越獄社區並沒有因此一蹶不振,而是又開發出了另一款越獄工具「absinthe」,成功越獄了iOS 5.1和5.1.1。在蘋果發布iOS 6時,再一次修復了這個漏洞。
戴維·王說:「iOS 6在安全方面有了顯著提升。iOS 6.1的安全性甚至優於前一個版本。初始注入(initial injection)是我們在越獄iPhone 5時遇到的最大難題之一。」
乘隙而入
現在,iPhone 4則不會受到所有這些iOS系統更新的影響,因為Limera1n利用的是一個尚未被修復的bootrom漏洞,不管設備運行哪個版本的iOS,都不影響越獄。當然,人們或許會提出這樣的疑問:既然bootrom漏洞的作用如此之大,黑客為何不繼續尋找來越獄iPhone 5呢?
這個問題的答案並不是如此簡單。弗裡曼說:「尋找bootrom漏洞更加困難,僅僅是因為相關軟體太少了,我們將這種手段稱為是『攻擊地面』」。他將這種漏洞比作是一支身披盔甲的軍隊,可能某個位置存在缺陷,讓敵人可以乘隙而入,而規模更小的隊伍卻更有可能做到全面防禦。bootrom所做的唯一一件事情就是驗證其他軟體,它通過USB與系統進行溝通,本身代碼並不多。
大多數bootrom漏洞都存在於USB設置代碼中,而此類漏洞大多已經修復。不過,在iPhone 5中,蘋果採用了Lightning接口,因此黑客又有了機會,可以在新的bootrom中發現bug。當然,前提是他們能找到查看bootrom的方法,但他們目前對此還無能無力。
迄今為止,越獄者的工作主要圍繞尋找非bootrom漏洞展開,而這一任務近來越來越艱巨。iPhone 4和iPod 4現在均未實現完美越獄,同時也沒有越獄iPhone 4S或iPhone 5所採用的iOS 6的有效方法。
越獄者像魔術師
通常情況下,我們很難走進越獄社區這個略顯神秘的群體。當越獄者和其他黑客在Twitter上炫耀他們的成果時,偶爾只是公開所謂的userland漏洞。或許,他們是在展示運行於其設備上的Cydia——弗裡曼為整個越獄社區打造的「應用商店」。
弗裡曼澄清說,這些成果往往只是部分越獄——即便安裝了Cydia,我們渴望擁有的應用未必能使用。有時,越獄者使用的是蘋果自己的開發者工具,讓該公司付費開發者可以在iPhone上安裝他們自己的代碼。換句話說,看到一款設備運行Cydia,並不代表針對用戶的越獄準備就緒。
有時,這些成果只是暗示了越獄工作的最新進展。弗裡曼說:「有點像是跟魔術師打交道。你可能知道他們的戲法究竟是怎麼一回事,但仍然會趨之若鶩。這與黑客社區存在很大的相似之處。有人已經掌握了譁眾取寵的門道。」他補充說,魔術師蠱惑的是我們的大腦,而越獄者入侵的則是我們的手機。
弗裡曼還舉例說,有兩名黑客最近展示的越獄方法是完全合法的,但他們沒有獲得內核補丁,因此即便越獄,也是「不完整」的,不能實現越獄後的大多數好處,「這些充其量只是『半越獄』。」
隨著蘋果的改進,越獄用戶已越來越少。
誰又值得信賴?
對於我們來說,重要的是,要知道哪些越獄者值得信賴。儘管仍然存在像Comex之類的越獄者突然半路殺出的可能性,但那些多年來一直堅持越獄蘋果設備的開發者,最終脫穎而出的機率更大,也更值得我們信賴。
但在iPhone 5被成功越獄以後,這也帶來了一個更大的疑問,即這種越獄手段是否會像過去幾年那樣,再次吸引大量用戶的追捧。弗裡曼稱,根據過去兩個月的數據,目前共有2千多萬臺設備正在運行Cydia。當然,這一數字不僅僅包括iPhone,還計入了iPad和iPod touch的數據。值得注意的是,仍然有大量用戶還在使用iPhone 4和4S。
弗裡曼表示,在兩款越獄工具發布間隙,Cydia安裝量往往都會開始下滑,但當下一個熱門越獄工具發布時,Cydia安裝量總會創造一個新的記錄。他說:「每次我們發布越獄工具時,用戶關注度會重新飆升,在此期間他們會進行升級、越獄、瀏覽套件併購買產品。他們都是極其活躍的用戶;由於用戶數量激增,最後會導致它開始下滑,滑坡速度甚至超過用戶有機增長速度。所以,越獄工具的整體使用情況總是呈現下滑趨勢。」
黃金時代一去不返
在這些沉寂時期內,有人會對是否仍有人希望越獄提出質疑。畢竟,蘋果已經解決了越獄者尋求破解的一些難題:例如,iPhone如今擁有下拉式通知窗口,讓用戶可以在鎖定屏幕中添加壁紙。AT&T版iPhone中的Facetime功能如今也支持3G和4G網絡。
T-Mobile也開始經銷iPhone,所以用戶以後就不需要越獄,直接通過解鎖工具就能讓iPhone與T-Mobile網絡兼容。用戶甚至還可以購買解鎖版iPhone。相比越獄並安裝WiFi熱點應用,直接付費購買運營商提供的WiFi熱點功能其實更便捷。
盜版應用社區Hacklous近日已經關閉,理由是用戶對它不再感興趣,按照其創始人的說法就是,「我們的社區已經變得死氣沉沉。」
弗裡曼認為,缺乏iPhone 5越獄工具,並不是近期用戶對越獄失去興趣的主要原因。他說:「以iOS 6為例,目前我們沒有看到太理想的越獄工具,特別針對iPhone 4或iPod 4搭載的iOS 6開發出來。至於蘋果最新設備上的iOS 6,我們同樣沒有針對性越獄工具,包括去年發布的iPhone 4S。」
但是,戴維·王指出,「我們全都認為,越獄受歡迎程度之所以下降,是因為蘋果做出的改進,但其實越獄仍然相當流行。」實際上,他在Reddit上面發表的那篇帖子非常受歡迎,這充分說明外界對越獄社區的動向仍然相當關注。
與用戶存在誤解
戴維·王坦言,現在,越獄者與用戶之間的溝通可能沒有以前那麼頻繁,「我或許沒有做出應有的努力去與用戶交流,因為在一定程度上講,總覺得未來沒有什麼希望。總有人不看你寫了什麼東西,或者會主觀地曲解你說的意思。你很難不讓別人曲解你的意思,所以有時你乾脆什麼也不說了。」
但戴維·王並沒有放棄努力。例如,前不久他和另一位越獄者@Pod2G在Twitter上表示,他們在尋找新的漏洞方面取得了一些積極進展,並希望能讓公眾深入了解越獄社區。
無論如何,iPhone 5的越獄或許能給越獄社區注入新的活力。這個社區的規模日益龐大,甚至還制定了自己的規章制度。此外,它還有助於解答一個問題,即數百萬越獄用戶是否仍然對這種事情感興趣,會繼續對iPhone進行越獄,或者說他們是否安於現狀,即便近幾個月來沒有實現完美越獄,他們仍然不在乎。
當然,戴維·王與其他黑客一樣,似乎已經離不開越獄了。他說:「我的iPhone總是處于越獄狀態。」或許,不久的將來,你的iPhone也可以再一次越獄。