由于苹果iOS在发展初期各项功能都被近乎苛刻的限制了,但同时这也成为人们对孜孜不倦的开发iOS越狱软件的原动力。随着App Store的开放,对iOS的越狱从破解铃声和壁纸转变成对商业程序的破解。
什么是越狱?
在维基百科的解释中,越狱是通过执行特定的动作,并最终实现更改一个UNIX系统root目录的动作,取消系统的限制权限,或是绕过数字版权管理DRM。前者将允许用户对默认设定意外的目录操作,后者则允许用户在DRM绑定的设备上执行任意的代码。
iOS的第一次亮相是在2007年的Macworld C&E上,当时它还被称为"在iPhone上运行的OS X",其实它确实是用了与OS X相同的Darwin核心,另外加上特制的触控界面。
苹果早期的iOS只支持web应用程序,直到2008年3月苹果才最终放出了原生SDK,并开始支持第三方软件,同时系统被更名为 "iPhone OS"。10年6月,伴随着iPhone 4的发布,这一系统又一次更名为"iOS"
同时苹果在iOS的基础上又衍生出了一个基于iOS的设备家族,iPod touch、iPad、Apple TV,iOS甚至变成一系列设备的统称。
由于苹果iOS在发展初期各项功能都被近乎苛刻的限制了,但同时这也成为人们对孜孜不倦的开发iOS越狱软件的原动力。随着App Store的开放,对iOS的越狱从破解铃声和壁纸转变成对商业程序的破解。
越狱的原理
iOS设备的启动顺序是:通电后,从bootrom中执行代码映射到内存空间的特定地址里,然后载入设备 NOR芯片中的Low Level Bootloader,并对iBoot进行签名检查。如果iBook通过了检查,它将被载入并对iOS Kernel进行签名检查。成功的话载入iOS Kernel并由其对文件系统及所有程序进行签名检查。
任何一步签名检查的失败都会导致启动过程的中止。足够敏锐的话,你会发现在这个不断检查的过程中,bootrom加载LLB并没有进行签名检查。这就是越狱工具Pwnage 1.0做的事,载入一个修改过的LLB并停止一系列的签名检查。在Pwnage2.0中,利用了一个证书解析过程中的溢出来打断认证链。而且 bootrom与firmware无关,除非更新硬件设计否则这个设备将一直被越狱。所有的MB型号设备都存在bootrom漏洞,甚至一些MC型号的 3GS也存在这种漏洞。
iOS的越狱分为tethered(非完美)和untethered两种。非完美越狱意味着用户拥有了一个修改后的iBoot却没有一个修改后的LLB,以致于无法通过签名检查而停止。这种情况下设备会进入DFU模式试图恢复,所以可以连接电脑利用越狱工具直接引导iBoot而不进行恢复。
直到新的bootrom漏洞被发现后新的完美越狱才成为可能。09年初发现了一个24kpwn漏洞。具体是:在恢复的时候并不会检查被刷入NOR芯片的LLB镜像文件。因此刷入一个超过0x24000 byte大小限制的LLB将导致一个溢出,以致bootrom的签名检查取消并且载入一个修改过的LLB。苹果终于试图拿出一个强大的防御方案来,在修补24kpwn漏洞的同时加入了ECID检查。恢复设备时不再允许降级且利用每个设备的ECID(设备相关的一个芯片ID)返回一个签名(SHSH)来添加到固件中进行恢复。如果签名没有成功,那么刷新过程将失败。
看起来很牢固的一个服务端签名方案。致命的一点在于还是返回了SHSH到本地,那么就可以将这个签名保存下来用于再次越狱或降级了。这就是利用TinyUmbrella之类的工具备份SHSH可以进行的事。
在3.0-3.1.2阶段发现了两个重要的iBoot漏洞:iBoot Environment Variable Overflow和usb_control_msg漏洞。但是从3.1.3开始所有的iBoot漏洞都被填补了。目光被放到了Kernel上。利用了恢复过程中了一个允许未签名代码执行的漏洞,可以在不修改iBoot的前提下运行修改后的kernel了。
4.0发布时,利用了全系列存在的一个safari中的pdf字体漏洞导致解析时堆栈溢出而破解。之后又发现了SHAtter bootrom漏洞。
IOS设备的越狱与反越狱就在苹果的不断修补与黑客的不断寻找漏洞的过程中继续开展下去。
2007年——世界第一个越狱程序
2007年6月27日 世界上第一个越狱程序问世,它的主要功能就是让用户可以自定义iPhone的铃声和壁纸
2007年7月 世界上第一个针对iPhone和iPod Touch第三方游戏发布。
2007年9月 新的越狱方法被发现,由此正式引发了一场苹果与黑客之间的"猫鼠游戏"。
2008年——漏洞代码被免费发放
2008年2月 意大利电脑黑客Zibri Eskobar发现了iPhone中的一个重大漏洞,并制作了相应的越狱程序,Zibri Eskobar将在论坛内免费发放代码。
2008年7月11日 苹果发布iPhone OS 2.0系统,但很快就被一个叫做"iPhone Dev Team"的黑客组织破解并发布了名为PwnageTool的越狱工具。它使用简单易用的图形操作界面对iPhone, iPhone 3G,和iPod Touch进行破解。PwnageTool一直被开发并支持到iOS 4.2.1。
2009年——苹果与越狱的战争
2009年1月 iPhone Dev Team可是研发对iPod Touch 2G的越狱。
2009年3月17日 苹果证正式发布iPhone OS 3.0系统,新系统修补所有的越狱漏洞。
2009年6月 iPhone Dev Team发布PwnageTool 3.0和Redsn0w 0.7.2,这是世界上第一个支持iPhone和iPod Touch的iPhone OS 3.0越狱工具。
2009年9月 苹果发布iPhone OS 3.1系统,再一次对漏洞做了修正,但此后不久新版本的PwnageTool发布,并在此实现了全设备越狱。
2009年10月 在很短的时间内苹果再次将系统升级至iPhone OS 3.1.2,这次一个名叫George Hotz的黑客发布了Blackra1n越狱工具,这也是世界上第一个iPod Touch 3G的越狱工具。
2010年——越狱被宣布合法
2010年2月 苹果发布iPhone OS 3.1.3系统,又一次修正了漏洞,然而大部分iPhone和iPod Touch都可以降级,iPhone 3GS和iPod Touch 3G的用户只要备份SHSH blob就可以实现系统降级,SHSH blob来自于设备的芯片ID(ECID)和firmware ID。
2010年3月 Wii homebrew的成员Comex发布了视频展示了一个预览版的完美越狱工具——Spirit。
2010年4月 George Hotz (Geohot)宣布正在研发新的完美越狱工具,Limera1n,并注册了limera1n.com的域名。
2010年5月2日 在iPad 3G发布的很短的时间内,Comex就正式发布了Spirit越狱工具,它支持所有的iPod Touch, iPhone,和iPad,并支持当时最新的iPhone OS系统,它使用的漏洞与Blackra1n相同。
2010年6月21日 苹果发布iOS 4,但就在iOS 4发布几个小时之后,iPhone Dev Team就推出了新版本的Redsn0w,随后几天之内,新版的PwnageTool和Sn0wbreeze也相继问世。他们都可以对第二代,第三代iPhone和iPod Touch越狱,并同样支持iPad,唯一的遗憾是不能对iPhone4越狱。
2010年7月13日 在Limera1n几个月没有更新之后,Geohot宣布他将正式对越狱软件的开发,
2010年7月25日 美国国会图书馆正式修改千禧年数字版权法案中的括免条款,正式认可iOS越狱之合法性。
2010年7月底 在越狱软件合法之后,Comex的Spirit工具成功实现了iPad越狱。
2010年8月1日 Comex公开发布第一个iPhone4越狱工具——JailbreakMe 2.0,它需要使用Safari浏览器登陆JailbreakMe.com激活。这个工具不再支持第一代iPhone上的iPhone OS firmware 1.1.1,而支持3.1.2到4.0.1版本的firmware固件。
2010年8月11日 苹果为iPhone、iPod Touch发布了最新版的iOS 4.0.2,为iPad发布了iOS 3.2.2系统,这次更新虽然没有加入新功能,但却关闭了此前的PDF漏洞,宣告了JailbreakMe.com的破解无效。
2010年8月20日 苹果停止认证iPhone/iPod Touch上的iOS 4.0.2和iPad上的iOS 3.2.2之前的固件签名,因此用户必须重新设计固件至iOS 4.0.2,这一举措几乎将所有越狱工具置于死地,此后的数个星期之内一直没有支持最新版iPhone4的越狱工具出现。
2010年9月8日 在苹果发布iOS4.1之后,黑客团体Chronic Dev Team宣布他们发现了最新iPhone和iPod Touch中bootrom的一个漏洞,这就是众所周知的SHAtter,这个漏洞的发布意味着只要苹果不改变硬件配置那么就可以一直利用这个漏洞越狱。
2010年9月23日 iH8sn0w发布了越狱工具Sn0wbreeze 2,这也是第一款针对iOS4.1的越狱工具,然而这只是一个不完美越狱,并且只支持第二代和第三代iPhone/iPod,以及第一代的iPad,而无法兼容iPhone4和iPod Touch 4G。
2010年10月7日 Chronic Dev Team对外宣布新版Greenpois0n越狱工具将在2010年10月10日上午10点10分发布,这次越狱是基于SHAtter这个漏洞实现的。
2010年10月9日 在新版Greenpois0n即将发布之前,GeoHot再次回归,并令人惊讶的发布了Limera1n越狱程序,这个程序此前宣称将在4月发布,但却"胎死腹中"。它是第一个同时兼容iOS 4.1和iOS 3.2.2的越狱程序。
2010年10月12日 Chronic Dev Team正式发布了Greenpois0n,Greenpois0n使用了经过调整的Limera1n漏洞,而不是当时备受欢迎的SHAtter,他们的理由是基于SHAtter漏洞的Greenpois0n将完全浪费Limera1n本身已经非常好的bootrom漏洞。
2010年10月14日 George Hotz发布Mac OS X版本的Limera1n,这也是第一个可以通过Mac运行的越狱程序。
2010年10月16日 Chronic Dev Team发布Mac OS X版本的Greenpois0n。
2010年10月18日 Greenpois0n RC4发布,新版本加入了对iPod Touch 2G的支持,并可以兼容所有采用iOS 4.1的设备。
2010年10月20日 iPhone Dev Team发布PwnageTool 4.1,可以实现对运行在iOS 4.1系统上的iPhone 3G, iPhone 3GS, iPhone 4, iPod Touch 3G, iPod Touch 4G, 和Apple TV 2G,以及运行在iOS 3.2.2上的iPad的越狱。
2010年11月1日 iPhone Dev Team发布Redsn0w 0.9.6b2,可以实现对运行在iOS 4.1系统上的iPhone 3G, iPhone 3GS, iPhone 4, iPod Touch 2G, iPod Touch 3G, iPod Touch 4G,和Apple TV 2G,以及运行在iOS 3.2.2上的iPad的越狱。
2010年11月13日 iH8sn0w发布Sn0wbreeze 2.1,可以实现对运行在iOS 4.1系统上的iPhone 3G, iPhone 3GS, iPhone 4, iPod Touch 2G, iPod Touch 3G, iPod Touch 4G,和Apple TV 2G,以及运行在iOS 3.2.2上的iPad的越狱。
2010年11月22日 Redsn0w 0.9.6b3问世,实现了在iOS 4.2.1系统上的iPhone 3GS, iPhone 4,iPod Touch 3G, iPod Touch 4G,和iPhone 3G以及iPod Touch 2G的完美破解,另外新版Limera1n还加入了一个新功能,允许用户在破解的同时安装软件包。
2010年11月28日 PwnageTool 4.1.3发布,它可以支持基带升级为6.15.00的iPhone 3G和iPad 3G,另外Ultrasn0w还可以很好的实现解锁,它几乎可以解锁任何iOS4.1系统下的iPhone3GS。
2010年11月29日 Redsn0w 0.9.6b5发布,相比上一版本这次更新并没有任何改动,而只是可以支持06.15.00基带的iPad,、iPhone 3G和iPhone 3GS。
2010年12月3日 Redsn0w 0.9.6b6发布,新版本修正了一些BUG。
2010年12月24日 可以实现完美越狱的Redsn0w提供给Mac用户测试,这一版本可以实现对iOS 4.2.1系统的iPhone4、iPod touch 4的越狱,并同时支持第一代的iPad,iPhone Dev Team称如果反馈效果好的话,还将发布Windows版本。
2010年12月26日 Redsn0w 0.9.7b1开放给Mac用户进行测试,这一版本只支持iPhone 4, iPad,和iPod Touch 4G,另外这个版本还将导致蓝牙功能失效,以及Skype崩溃的问题。
2010年12月27日 Redsn0w 0.9.7b2和0.9.7b3发布,Beta2版修正了程序冲突问题,Beta3版则在Beta2的基础上再次修正了视频播放的问题。
2010年12月31日 iPhone Dev Team为测试用户提供了Redsn0w 0.9.7b4测试版。
2011年——完美越狱越来越少
2011年1月9日 iPhone Dev Team为测试用户提供了Redsn0w 0.9.7b5测试版。
2011年1月10日 iPhone Dev Team为测试用户提供了Redsn0w 0.9.7b6测试版,终于修正了蓝牙和Skype的运行问题。
2011年1月21日 Chronic Dev Team发布了一个视频演示了基于iOS4.2.1系统的iPhone4的越狱,它证明了Greenpois0n确实可以实现完美越狱,但仍有些BUG需要修复,因此当时并没有发布真正的越狱程序。
2011年1月28日 iPhone Dev Team通过其官方Twitter账号发布了iOS 4.2.1越狱的信息,据悉这次越狱使用的是iOS4.1下的IPSW文件。而且越狱程序将只针对Windows系统发布。
2011年2月3日 Chronic Dev Team发布Greenpois0n RC5,它可以实现基于iOS 4.2.1的iPhone 3GS, iPhone 4, iPod Touch 2G, iPod Touch 3G, iPod Touch 4G, 和iPad的完美越狱。
2011年2月5日 Chronic Dev Team发布通过Windows运行的Greenpois0n RC5,但这一版本并不支持Verizon版的iPhone 4。
2011年2月7日 Greenpois0n RC5.4发布,新版本实现了全版本兼容,其中也包括Verizon版的iPhone 4。
2011年2月12日 Greenpois0n RC6发布,加入对Apple TV 2G的支持。
2011年2月15日 iPhone Dev Team发布PwnageTool 4.2,他可以实现对基于iOS4.2.1系统的iPhone 3G, iPhone 3GS,iPhone 4 (AT&T和Verizon), iPod Touch 3G, iPod Touch 4G, iPad,和Apple TV 2G的越狱。
2011年2月15日 iH8sn0w发布Sn0wbreeze 2.2,这个越狱程序基于Greenpois0n RC5开发,加入了被称作"Baseband Preservation Mode"的功能,它允许用户在继续使用01.59.00基带的同时升级至iOS 4.2.1,这意味着iOS 4.2.1终于同时实现了破解和越狱。
2011年2月18日 Chronic Dev Team发布Greenpois0n RC6.1,它修正了上一版本中在iBooks里看不到买过的电子书的问题。
2011年2月20日 iH8sn0w发布Sn0wbreeze 2.2.1,他允许越狱几乎所有的iOS4.2.1设备,其中还包括iPad2和Verizon版的iPhone 4。
2011年3月4日 非官方版的PwnageTool 4.2可以实现对iOS4.3设备的越狱,其中包括iPad2和Verizon版的iPhone 4,但这是一个不完美越狱,用户需要每次使用PwnageTool都需要重启。
2011年3月13日 iH8sn0w发布Sn0wbreeze 2.3b1,它支持iPhone 3G,iPhone 3GS,iPhone4(GSM 3G),iPad以及iPod Touch 3G,4G的越狱,这同样是一个不完美越狱,同时这一版本还非常不稳定。
2011年3月20日 iH8sn0w发布Sn0wbreeze 2.3 BETA 4 (2.3b4),其中还包括一个Ultrasn0w补丁,它可以实现对iPhone3G,iPhone3GS和iPHone4的解锁,并支持下面多种基带:01.59.00 / 04.26.08 / 05.11.07 / 05.12.01 / 05.13.04 / 06.15.00,同时这仍然是一次不完美越狱。
网友评论