iPhone越獄社區:與蘋果的「貓捉老鼠」遊戲

美國科技博客網站TechCrunch近日撰文，披露了一個因蘋果iPhone興盛而壯大起來的神秘群體——越獄社區。文章指出，經過數年發展，越獄社區的運行模式和氛圍與以前相比發生了很大變化，越獄者之間更加注重技術分享，同時分工更明確。他們就好像是魔術師，大家明明知道他們的「戲法」只是譁眾取寵，但仍然趨之若鶩。

越獄並非為盜版，而是能讓用戶添加蘋果不允許安裝的應用和功能。越獄社區經過數年的發展，已經變得分工明確。但隨著蘋果的改進，總體上使用越獄的用戶已越來越少。

成功越獄iPhone5

從技術上講，iPhone5已經被成功越獄，只是相關越獄工具尚未公開，大家沒有掌握而已。這是因為，黑客們之所以能實現此次功能性越獄，他們發現的一個bug功不可沒，在找到另一個替代bug之前，當然不想將其公諸於眾，以免蘋果了解到這種情況，及時發布補丁修復相關漏洞。此外，iOS6.1也即將發布，黑客們肯定不希望在此之前公開這個秘密。

共有六位黑客參與實施了此次越獄，戴維·王(David Wang)就是其中之一。他近日在社交新聞網站Reddit上宣布了成功越獄iPhone5的消息：「事實就是，我已在iPhone 5上面實現了對iOS 6.0.2的越獄。」

他寫道，「這個漏洞對我們來說簡直就是天賜良機，讓我們明白正在發生什麼情況。我們必須能夠找到我們試圖修改的代碼，然後實施破解。否則，我們基本上就是兩眼一抹黑，什麼也不知道。」

最糟糕的情況則是，為了讓所有人掌握越獄技巧，黑客們不得不「燒掉」他們發現的那個漏洞——他們現在還不希望這樣做。此外，在戴維·王宣布越獄iPhone 5的消息時，又有四個bug被發現了。這也給越獄者發現更多的bug帶來了希望。到目前為止，這個領域的進展一切順利。

那麼，用戶有一天會擁有iPhone 5越獄工具嗎？對此，戴維·王給出了肯定的回答，並且希望在今年能夠實現這個目標——最起碼在下一代iPhone發布以前。尋找漏洞不同於開發應用或建設網站，不見得每天都會有新的進展。相反，這個過程更像是「淘金」，雖然付出了巨大努力，最終仍有可能一無所獲。

奇特的社區氛圍

首先，讓我們來了解一下越獄。這種活動最初之所以會流行起來，是因為它讓用戶可以添加蘋果不允許安裝的應用和功能。用戶可以將他們的手機變成WiFi熱點，安裝定製主題，令其設置更容易訪問和控制，讓蘋果的默認限制派不上用場，等等。部分用戶甚至可以解鎖iPhone，從而運行於未經許可的運營商網絡上。

過去，越獄者之間的競爭更加激烈，他們組成了不同的「團隊」，如「iPhone開發者團隊」(iPhone Dev Team)和Chronic團隊。還有一些開發者甚至單槍匹馬行動。他們之間相互競爭，希望讓自己的「傑作」高出對方一籌，給越獄用戶帶來驚喜。

現如今，越獄者社區的氛圍似乎與以前大不相同。只要時機合適，曾經喜歡單槍匹馬的開發者也會攜手合作，共享技術。越獄者相互之間的競爭越來越少，每個人都各司其職，互不幹涉。所有人都會在GitHub(全球最大的社交編程及代碼託管網站)上面公開他們的成果，在那個平臺上，代碼隨後會被變成面向用戶的越獄工具。

據戴維·王介紹，若是以前，同一批開發者會專注於攻克某種設備，現在則不然，一切取決於哪位開發者有時間和精力，「隨著時間的推移，團隊開始逐步瓦解。團隊構架的確不靈光了，因為它宣揚對立、競爭，讓你不能與自己欣賞的人合作。現在的構架則更好——我們可以相互合作並分享技術，同時又分工明確。我們不會與整個團隊分享技術，而是與我們認為有需要的個人。」

或許，我們應該稱之為一種更加友好、更加紳士的黑客氛圍。這一次，對iPhone 5的越獄就稍晚於預期，但這不僅是因為iOS 6作業系統的安全性得到增強，而且還因為越獄者的時間有限，比如他們白天都有自己的工作。戴維·王有著一份與越獄毫不相關的全職工作，而另一位越獄iPhone 5的黑客@Pod2G則一直忙著開發自己的iOS應用。

逐一攻破系統漏洞

另外，在尋找漏洞和發布越獄工具的過程中，還有其他一些事情也會令越獄團隊的工作遲遲得不到進展。例如，找到不同設備間的代碼區別，測試越獄流程等。一旦開始進行越獄，還有一項工作頗具挑戰性，那就是找到技術水平足夠高，同時嘴又很嚴的測試者。戴維·王說：「成功越獄有時候需要幾周，有時候則幾天就搞定了。」

以前，越獄並不需要這麼辛苦。越獄者可以在bootrom(iPhone上的第一個重要代碼)中找到一個漏洞，然後逐一攻破。只要iPhone不被更換，無論它們運行的iOS版本高低，用戶都可以全面控制。但如今，越獄者甚至都無法進入bootrom。

戴維·王說：「這些bootrom越來越小，我們甚至已經沒辦法從中提取dump文件。即便我們破譯了代碼，完全控制了iPhone，仍然無法看到bootrom。如果不能獲取dump文件，我們就不能輕鬆找到代碼並發現錯誤。」

原因就是，在iPhone 5完全啟動時，bootrom就會被自動隱藏起來。這還要從iPhone 4的完美越獄工具「Limera1n」說起，這個工具利用了iPhone 4上一個未被發現的bootrom漏洞，實現了完美越獄，但隨後蘋果便修復了這個bootrom漏洞。

蘋果修復bootrom漏洞僅僅是為了防止越獄嗎？戴維·王回答說，「應該是這樣，因為如果不是為了越獄，誰會去關注bootrom呢？用戶真的不會因讀取bootrom而使手機感染了病毒。」

由於沒有可用的bootrom漏洞，黑客現在需要找到更多的漏洞，才能向用戶提供完整的越獄解決方案。黑客們需要代碼植入型bug(將代碼植入作業系統中)，以及能提升代碼優先級別的bug，才能對手機作業系統的設置做出修改。這兩個bug有時甚至是一樣的。

接著，他們還需要一個內核植入型bug，從而可以不受限制地訪問作業系統，命令內核停止檢查代碼籤名。最近，由於iOS 6的安全性得到增強，黑客還需要找到另外一個漏洞，以繞過內核ASLR(地址空間布局隨機化)的限制。ASLR會將內核分散到內存中。

戴維·王說，蘋果不讓越獄者看到內核在內存中的位置，正是為了防止他們修改代碼。因此，他們還需要找到一個bug，能夠突破內核ASLR設置的障礙，而這個bug可能與提升代碼優先級別或內核植入型bug相同。

最後，黑客們還需要一個完美越獄的bug，讓iPhone無論在何時何地啟動時，都能實施越獄。越獄的確需要找到很多bug。

越獄簡史

為了全面認識iPhone越獄這些年來為何變得越來越難，我們就需要對越獄的歷史有所了解。只有這樣，我們才能明白現在的情況。

在蘋果發布iPhone 3G之後，一款名為「Pwnage Tool」的越獄工具出現了。它是基於一個bootrom漏洞開發，讓黑客可以更改iPhone上的作業系統。這基本上就像是在修改電腦上的軟體。你的電腦本來運行的作業系統是Windows，但你卻給它安裝了Linux。就越獄 iPhone 而言，這是非常強大的訪問策略。

後來，在iPhone 3GS上市時，黑客此前越獄中用到的關鍵bug仍然沒有得到修復。過了很長時間以後，蘋果才決定暫時停止生產iPhone 3GS，以徹底解決這個問題。恢復生產後，恢復了生產，新一批iPhone 3GS植入了新的bootrom，之前那個被越獄者利用的關鍵bug不見了。

「Cydia之父」傑伊·弗裡曼(Jay Freeman)說：「蘋果的動機其實很好理解，iPhone存在一個bug，他們希望將它修復。至於蘋果為何認為那個bug，比其他未被修復的bug重要，那我就不清楚了。但我們再沒找到過比那個更好的bug了。」所謂Cydia，其實就是越獄「應用商店」，讓用戶可以在iPhone越獄以後安裝到上面。

越獄，就像一場與蘋果的「貓捉老鼠」遊戲

道高一尺魔高一丈

但是，蘋果的努力並未阻止黑客繼續尋找其他破解iPhone代碼的方法。在蘋果修復了那個bootrom漏洞之後，越獄者很快就發現了其他的bootrom漏洞，但這些漏洞只能讓他們對系統做出暫時的修改。我們再次用上面提到的例子，這就好像是你必須要依靠光碟或U盤來啟動Windows，而不能將Windows安裝到電腦。

在iPhone上面，這意味著越獄者只能暫時用一個新的內核啟動手機，而這個內核又不保護iPhone的系統，同時還需要激活硬碟，更改iPhone的系統來做不同的事情。也就是說，運行所有可以更改iPhone行為的越獄應用。

但在這種情況下，內核仍然受到保護，因為bootrom未被修改或破壞。這就意味著，在iPhone下一次啟動時，此前的越獄就無效了。這種方式被稱為「非完美越獄」，即每次重啟iPhone，用戶都必須再重新越獄一次。等到iPhone 4發布時，越獄者只好從手機內置的程序中尋找漏洞，以便可以找到內核中的bug，只要找到了這個bug，他們就可以用來修改內核，進而更改手機上的其他軟體。

這方面最典型的案例就是JailbreakMe網站，這個網站由一個名為Comex的越獄者創立。JailbreakMe利用了網頁瀏覽器的一個bug，使瀏覽器陷入癱瘓並進行控制，以便向內核植入任意代碼。弗裡曼說，「Comex令人太不可思議了。他發現了那麼多漏洞。」

Comex後來被蘋果招至麾下，但聽說他在蘋果的工作與越獄毫無關係。戴維·王表示，等待越獄的用戶不必對蘋果從越獄社區挖角過慮。

接下來，就是讓此次越獄變得「完美」——即無論何時重啟iPhone，都能直接進入越獄狀態。這需要越獄者在系統中植入某種代碼，當iPhone重啟時修改系統，解除它的安全防護。沒有了bootrom漏洞，比如在iPhone 3G或3GS上面發現的漏洞，那麼這便成了實現完美越獄的最好辦法。

越獄大神Comex後來被蘋果招至麾下，但聽說他在蘋果的工作與越獄毫無關係。

「貓捉老鼠」遊戲

蘋果每次發布新一代iPhone時，越獄者尋找漏洞的努力都要重新開始。iPhone 4的越獄就是一個典型的例子。

2010年10月10日，一個值得紀念的日子。那一天，越獄社區的幾位成員正準備發布一款名為SHAtter的工具，一個名為「Geohot」的黑客卻半路殺出，搶先發布了針對iPhone 4和iPad的越獄工具「Limera1n」。隨後，@Pod2G、@Comex和@i0n1c等黑客也加入了進來，試圖實現對iPhone 4的完美越獄。

Limera1n之所以很重要，是因為跟JailbreakMe網站式越獄不同，前者利用的bootrom漏洞在整個設備的使用壽命期間都是有效的，而後者只是利用了瀏覽器的漏洞，蘋果可以很容易發布補丁進行修復。

弗裡曼解釋說：「想要修復bootrom的漏洞，你必須扔掉舊手機，換一部新的。因此，蘋果總是拿Limera1n沒辦法。Limera1n會存在於每一部出廠時就帶有那個漏洞的設備中。」當然也有例外，那就是暫時停止產品生產，以修復漏洞，就像蘋果以前對付iPhone 3GS越獄那樣。

在iPhone 4S發布時，蘋果與越獄社區之間的「貓捉老鼠」遊戲仍在繼續上演。由於Limera1n利用的bootrom漏洞在iPhone 4S中被修復，黑客們只好重新尋找基於「userland」的漏洞——軟體上存在的漏洞，例如JailbreakMe利用的瀏覽器漏洞。

這種漏洞在被黑客發現並用來開發越獄工具時，它們可能會在蘋果下一次固件升級中得到修復，如iOS 4、iOS 5、iOS 6和一些較小的固件升級。黑客們將這個過程稱為是「燒掉」漏洞，因為蘋果總是能夠推出補丁修復，所以它們用過一次就失去了效用。

「Corona」是一個userland漏洞的名稱，用來越獄搭載iOS 5.0和5.0.1的iPhone 4S。蘋果發布iOS 5.1後，這個Corona漏洞也不見了。但越獄社區並沒有因此一蹶不振，而是又開發出了另一款越獄工具「absinthe」，成功越獄了iOS 5.1和5.1.1。在蘋果發布iOS 6時，再一次修復了這個漏洞。

戴維·王說：「iOS 6在安全方面有了顯著提升。iOS 6.1的安全性甚至優於前一個版本。初始注入(initial injection)是我們在越獄iPhone 5時遇到的最大難題之一。」

乘隙而入

現在，iPhone 4則不會受到所有這些iOS系統更新的影響，因為Limera1n利用的是一個尚未被修復的bootrom漏洞，不管設備運行哪個版本的iOS，都不影響越獄。當然，人們或許會提出這樣的疑問：既然bootrom漏洞的作用如此之大，黑客為何不繼續尋找來越獄iPhone 5呢？

這個問題的答案並不是如此簡單。弗裡曼說：「尋找bootrom漏洞更加困難，僅僅是因為相關軟體太少了，我們將這種手段稱為是『攻擊地面』」。他將這種漏洞比作是一支身披盔甲的軍隊，可能某個位置存在缺陷，讓敵人可以乘隙而入，而規模更小的隊伍卻更有可能做到全面防禦。bootrom所做的唯一一件事情就是驗證其他軟體，它通過USB與系統進行溝通，本身代碼並不多。

大多數bootrom漏洞都存在於USB設置代碼中，而此類漏洞大多已經修復。不過，在iPhone 5中，蘋果採用了Lightning接口，因此黑客又有了機會，可以在新的bootrom中發現bug。當然，前提是他們能找到查看bootrom的方法，但他們目前對此還無能無力。

迄今為止，越獄者的工作主要圍繞尋找非bootrom漏洞展開，而這一任務近來越來越艱巨。iPhone 4和iPod 4現在均未實現完美越獄，同時也沒有越獄iPhone 4S或iPhone 5所採用的iOS 6的有效方法。

越獄者像魔術師

通常情況下，我們很難走進越獄社區這個略顯神秘的群體。當越獄者和其他黑客在Twitter上炫耀他們的成果時，偶爾只是公開所謂的userland漏洞。或許，他們是在展示運行於其設備上的Cydia——弗裡曼為整個越獄社區打造的「應用商店」。

弗裡曼澄清說，這些成果往往只是部分越獄——即便安裝了Cydia，我們渴望擁有的應用未必能使用。有時，越獄者使用的是蘋果自己的開發者工具，讓該公司付費開發者可以在iPhone上安裝他們自己的代碼。換句話說，看到一款設備運行Cydia，並不代表針對用戶的越獄準備就緒。

有時，這些成果只是暗示了越獄工作的最新進展。弗裡曼說：「有點像是跟魔術師打交道。你可能知道他們的戲法究竟是怎麼一回事，但仍然會趨之若鶩。這與黑客社區存在很大的相似之處。有人已經掌握了譁眾取寵的門道。」他補充說，魔術師蠱惑的是我們的大腦，而越獄者入侵的則是我們的手機。

弗裡曼還舉例說，有兩名黑客最近展示的越獄方法是完全合法的，但他們沒有獲得內核補丁，因此即便越獄，也是「不完整」的，不能實現越獄後的大多數好處，「這些充其量只是『半越獄』。」

隨著蘋果的改進，越獄用戶已越來越少。

誰又值得信賴？

對於我們來說，重要的是，要知道哪些越獄者值得信賴。儘管仍然存在像Comex之類的越獄者突然半路殺出的可能性，但那些多年來一直堅持越獄蘋果設備的開發者，最終脫穎而出的機率更大，也更值得我們信賴。

但在iPhone 5被成功越獄以後，這也帶來了一個更大的疑問，即這種越獄手段是否會像過去幾年那樣，再次吸引大量用戶的追捧。弗裡曼稱，根據過去兩個月的數據，目前共有2千多萬臺設備正在運行Cydia。當然，這一數字不僅僅包括iPhone，還計入了iPad和iPod touch的數據。值得注意的是，仍然有大量用戶還在使用iPhone 4和4S。

弗裡曼表示，在兩款越獄工具發布間隙，Cydia安裝量往往都會開始下滑，但當下一個熱門越獄工具發布時，Cydia安裝量總會創造一個新的記錄。他說：「每次我們發布越獄工具時，用戶關注度會重新飆升，在此期間他們會進行升級、越獄、瀏覽套件併購買產品。他們都是極其活躍的用戶；由於用戶數量激增，最後會導致它開始下滑，滑坡速度甚至超過用戶有機增長速度。所以，越獄工具的整體使用情況總是呈現下滑趨勢。」

黃金時代一去不返

在這些沉寂時期內，有人會對是否仍有人希望越獄提出質疑。畢竟，蘋果已經解決了越獄者尋求破解的一些難題：例如，iPhone如今擁有下拉式通知窗口，讓用戶可以在鎖定屏幕中添加壁紙。AT&T版iPhone中的Facetime功能如今也支持3G和4G網絡。

T-Mobile也開始經銷iPhone，所以用戶以後就不需要越獄，直接通過解鎖工具就能讓iPhone與T-Mobile網絡兼容。用戶甚至還可以購買解鎖版iPhone。相比越獄並安裝WiFi熱點應用，直接付費購買運營商提供的WiFi熱點功能其實更便捷。

盜版應用社區Hacklous近日已經關閉，理由是用戶對它不再感興趣，按照其創始人的說法就是，「我們的社區已經變得死氣沉沉。」

弗裡曼認為，缺乏iPhone 5越獄工具，並不是近期用戶對越獄失去興趣的主要原因。他說：「以iOS 6為例，目前我們沒有看到太理想的越獄工具，特別針對iPhone 4或iPod 4搭載的iOS 6開發出來。至於蘋果最新設備上的iOS 6，我們同樣沒有針對性越獄工具，包括去年發布的iPhone 4S。」

但是，戴維·王指出，「我們全都認為，越獄受歡迎程度之所以下降，是因為蘋果做出的改進，但其實越獄仍然相當流行。」實際上，他在Reddit上面發表的那篇帖子非常受歡迎，這充分說明外界對越獄社區的動向仍然相當關注。

與用戶存在誤解

戴維·王坦言，現在，越獄者與用戶之間的溝通可能沒有以前那麼頻繁，「我或許沒有做出應有的努力去與用戶交流，因為在一定程度上講，總覺得未來沒有什麼希望。總有人不看你寫了什麼東西，或者會主觀地曲解你說的意思。你很難不讓別人曲解你的意思，所以有時你乾脆什麼也不說了。」

但戴維·王並沒有放棄努力。例如，前不久他和另一位越獄者@Pod2G在Twitter上表示，他們在尋找新的漏洞方面取得了一些積極進展，並希望能讓公眾深入了解越獄社區。

無論如何，iPhone 5的越獄或許能給越獄社區注入新的活力。這個社區的規模日益龐大，甚至還制定了自己的規章制度。此外，它還有助於解答一個問題，即數百萬越獄用戶是否仍然對這種事情感興趣，會繼續對iPhone進行越獄，或者說他們是否安於現狀，即便近幾個月來沒有實現完美越獄，他們仍然不在乎。

當然，戴維·王與其他黑客一樣，似乎已經離不開越獄了。他說：「我的iPhone總是處于越獄狀態。」或許，不久的將來，你的iPhone也可以再一次越獄。