黑客陳良首次揭秘如何越獄 iPhone X ：?jiǎn)滩妓沟奶O果終有缺口

在頂級(jí)黑客眼中，從來(lái)沒有不可能。

這不，這個(gè)黑客在 11 月初舉辦的第十二屆 POC 安全大會(huì)上針對(duì)蘋果最新機(jī)型 iPhone X 上搭載的 iOS 11.1. 1 系統(tǒng)，成功實(shí)現(xiàn)越獄。

這個(gè)黑客就是騰訊科恩實(shí)驗(yàn)室的研究員陳良，前不久他帶領(lǐng)的團(tuán)隊(duì)還拿了移動(dòng) Pwn2Own 黑客大賽的冠軍，獲得“世界破解大師”的稱號(hào)。

幾年之前，買了 iPhone 之后最重要的事情之一就是給它越獄。以非官方 app 商店 Cydia 為首的一眾越獄后才能使用的開源軟件們給 iPhone 帶來(lái)了令人驚訝的新功能和可定制性。但 Cydia 源中最知名的 ModMyi 發(fā)出了“再見”的消息。Cydia 三大源中的兩源已經(jīng)停止服務(wù)，僅剩的 BigBoss 源顯得有些孤單。

關(guān)于越獄已死的說(shuō)法喧囂直上，但在陳良等人眼中，這場(chǎng)與蘋果之間的貓鼠游戲一定會(huì)持續(xù)下去。

不過(guò)，把這場(chǎng)博弈比作游戲似乎有些草率，畢竟在此過(guò)程中，面對(duì)的除了“對(duì)手”的“奇襲”，更是對(duì)自己抗壓能力的沖擊。

“越獄期間我買了一個(gè)小酒壺，郁悶時(shí)候喝兩口，偶爾還能激發(fā)別的思路?！标惲颊f(shuō)。

能對(duì)一扇扇門“視若無(wú)物”的破解大師還有煩惱？是的，他有。

口述：陳良 |文：又田

成功沒那么容易

看起來(lái)酷炫，但蘋果越獄這件事，其實(shí)沒有你們想起來(lái)那么容易。

蘋果的 Root 權(quán)限不對(duì)用戶開放，越獄就是獲取 iOS 的 Root 權(quán)限，獲取后用戶使用 iOS 權(quán)限大大增加，可以查看 iOS 文件系統(tǒng)，免費(fèi)安裝 App Store 以外的海量軟件，更換外觀主題等。對(duì)安全研究人員來(lái)說(shuō)，iOS 系統(tǒng)源代碼的閉源性以致所做研究有限。

即使是調(diào)試自己所寫的 APP，都需要購(gòu)買開發(fā)者賬號(hào)在 Xcode 中進(jìn)行調(diào)試，這也是 iOS 系統(tǒng)安全研究人員格外小眾的因素之一。

自 2007 年 7 月第一款 iPhone 上市，開發(fā)人員發(fā)布了第一款無(wú)名越獄工具，打開了另一扇天窗。此后，蘋果每次發(fā)布新機(jī)、新版本總有人躍躍欲試。

無(wú)論是 2007 年被開發(fā)出適用于第一代 iPhone 和 iPod touch 的 JailbreakMe，還是國(guó)外著名越獄團(tuán)隊(duì)Chronic Dev Team 專為 iPhone4、iPhone4S 和 iPad2 等 A5 芯片設(shè)備用戶使用的一鍵式越獄工具 Absinthe，以及在 2014 年國(guó)內(nèi)盤古團(tuán)隊(duì)正式發(fā)布的蘋果 ios7.1.1 的越獄工具，能否越獄成功成為業(yè)界對(duì) iOS 研究深度判斷的普遍標(biāo)準(zhǔn)，所以科恩實(shí)驗(yàn)室自 2015 年以來(lái)就開始研究 iOS 越獄。

這是一波三折的經(jīng)歷。

2015年，我們剛剛開始對(duì) iOS 越獄進(jìn)行研究，那時(shí)候主要學(xué)習(xí)前人成果，對(duì)已有的越獄工具進(jìn)行逆向總結(jié)提煉。

2016年，我們?cè)?nbsp;Mobile Pwn2Own 上破解了 iPhone 6s，并利用內(nèi)核漏洞成功取得 iPhone 6s 內(nèi)部的照片資料。風(fēng)光背后卻是團(tuán)隊(duì)付出了大量時(shí)間和精力，彼時(shí)我們還沒有研發(fā)出自己的越獄工具，在沒有調(diào)試能力的時(shí)候我們只能從一些奔潰日志中查詢蛛絲馬跡甚至靠猜測(cè)進(jìn)行攻破過(guò)程。

明明一小時(shí)就能完成的工作，在沒有調(diào)試情況下卻需要幾天時(shí)間來(lái)完成，也是在那時(shí)，我們清楚地意識(shí)到越獄工具對(duì) iOS 研究的重要性。在此之后，我們開始針對(duì)性地尋找一些可越獄的漏洞。

直到今年 5 月份，我們做出了自己的越獄工具。

時(shí)隔半年，期間科恩遭遇過(guò)四次團(tuán)隊(duì)隊(duì)員發(fā)現(xiàn)可以用于越獄的漏洞，并耗時(shí)編寫越獄工具，而編寫到一半甚至快完成時(shí)，發(fā)現(xiàn)蘋果更新的版本中補(bǔ)住了這一漏洞。除此之外，團(tuán)隊(duì)成員的流動(dòng)也給研究雪上加霜。

喬布斯的蘋果終究有缺口

長(zhǎng)期以來(lái)，封閉式和開放式的編程方式被形容為“大教堂”和“集市”兩種模式。而蘋果的 iOS 與安卓系統(tǒng)被視為兩個(gè)完美代表。然而，隨著這幾年蘋果逐漸開放權(quán)限、開源部分內(nèi)核代碼，這種“大教堂”式的完美形象仍舊存在。但是，喬布斯的那個(gè)蘋果終究是有缺口的。

簡(jiǎn)單說(shuō) iPhone 的越獄步驟可概括為三步：首先獲得低權(quán)限的代碼執(zhí)行權(quán)限，然后想辦法繞過(guò)沙盒保護(hù)，隨后做系統(tǒng)內(nèi)核提權(quán)。

實(shí)際上在 iPhone5 之前（包括iPhone5）的蘋果手機(jī)上完成以上這三點(diǎn)就可以實(shí)現(xiàn)越獄，但從 iPhone5S 開始，iOS 推出 KPP，即對(duì)內(nèi)核進(jìn)行保護(hù)，即使能進(jìn)去，內(nèi)核在保護(hù)機(jī)制下仍會(huì)阻止你修改內(nèi)容。但對(duì)我們來(lái)說(shuō)，修改內(nèi)核的目的是把其自有的安全機(jī)制去掉，然后安裝自己的應(yīng)用程序，調(diào)試系統(tǒng)組件，但KPP的推出讓不少安全研究人員竹籃打水。

在 iPhone7 推出后，蘋果為了加強(qiáng)對(duì)內(nèi)核的保護(hù)，推出了 AMCC（硬件保護(hù)），從硬件級(jí)別對(duì)內(nèi)核打補(bǔ)丁，其設(shè)計(jì)理念是即使蘋果不可能在短期將所有漏洞補(bǔ)住，但他可以盡全力阻止在內(nèi)核有任意代碼執(zhí)行時(shí)手機(jī)不被篡改，這也被認(rèn)為是最后一道防線。

蘋果此舉幾乎堵死了越獄之路，這也給越獄帶來(lái)很大困難。不久前面世的 iPhoneX 中也加了防止代碼執(zhí)行的保護(hù)措施，將這堵墻砌得更高。

實(shí)際上，蘋果一次一次加固了這堵“柏林墻”。

一方面是對(duì)手機(jī)的直接保護(hù)，從iPhone 5 到 iPhone 7 再到 iPhoneX 是一個(gè)不斷迭代的過(guò)程。

另一方面則是系統(tǒng)版本的更新，比如 iOS 10.3.2 到 10.3.3 的版本更新，每一次系統(tǒng)版本的更新都會(huì)修補(bǔ)漏洞，引入一些系統(tǒng)級(jí)別的保護(hù).

我們?cè)l(fā)現(xiàn)，某一接口可以用于內(nèi)核內(nèi)存布局，可以利用其進(jìn)行越獄，但在 iOS 10.3.3 版本中將此接口砍掉修復(fù)了這一漏洞。

蘋果不止封上了上面這條路。

比如，之前，獲得內(nèi)核具備任意代碼執(zhí)行的權(quán)限，就可以獲得 Task for pid 0（tfp0），但蘋果在 iOS10.3 等版本上做了很多加固，這些都可對(duì)越獄造成影響。

這對(duì)蘋果而言，是一個(gè)不斷壘高墻的過(guò)程，對(duì)我們來(lái)說(shuō)，則是不斷找出突破口的挑戰(zhàn)。

5月，我們寫出自己的越獄工具時(shí)，針對(duì)的還是 iOS10.3.2 版本，此后蘋果每發(fā)布一個(gè)新的版本，我都要查看是否有加入新的對(duì)抗機(jī)制，如果加入了新機(jī)制，還要在現(xiàn)有工具上增加功能，以此適應(yīng)全新版本。

越獄有風(fēng)險(xiǎn)，但是把雙刃劍

獲得更高權(quán)限對(duì)于果粉來(lái)說(shuō)似乎格外有吸引力，但衍生出來(lái)的問(wèn)題是——越獄之后的手機(jī)是否安全。

而在我看來(lái)，越獄存有風(fēng)險(xiǎn)，但不代表絕對(duì)不安全，這是一把雙刃劍。

iOS 越獄不代表沙盒被破壞，不代表安裝的任意軟件都有 root 權(quán)限，不代表文件目錄可被所有應(yīng)用任意訪問(wèn)，不代表關(guān)鍵隱私暴露。

越獄只是禁用了部分 iOS 系統(tǒng)先進(jìn)的防護(hù)機(jī)制。對(duì)用戶來(lái)說(shuō)，可以獲得更多的權(quán)限，但也的確留給不法分子一條“無(wú)障礙通路”，這也是諸多支付軟件會(huì)直接檢查系統(tǒng)是否越獄，如果出現(xiàn)越獄情況會(huì)直接退出。

當(dāng)然，目前許多越獄軟件做的不夠完美，甚至很多越獄軟件為了達(dá)到自己目的，禁用 iOS 的全部保護(hù)機(jī)制。

我們跟他們不是一類人，注定了要走不一樣的路。我覺得，真正的越獄工具應(yīng)做到在該禁用時(shí)禁用，但在保護(hù)用戶隱私信息時(shí)，也應(yīng)不遺余力，這也是我們所做的越獄工具的理念。

手持重器，但應(yīng)行君子之道。

雷鋒網(wǎng)宅客頻道（公眾號(hào)ID：letshome）原創(chuàng)文章，雷鋒網(wǎng)雷鋒網(wǎng)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。