1月22日消息：從技術上來說，iPhone5 實際上已經被越獄成功，這裡說的越獄當然是指完美越獄。很遺憾，越獄用戶還不能擁有這夢寐以求的工具。原因是，黑客雖然已經發現了可越獄的漏洞，但這是一個很好利用的漏洞，黑客認為，在找到另一個可越獄的漏洞之前，暫時不發越獄，不然這個漏洞就會被蘋果封殺，白白犧牲。而且，iOS 6.1 的腳步聲越來越近了，黑客都明白此時不可輕舉妄動，這是與蘋果玩貓抓老鼠游戲的規則之一。

目前來看，最為活躍的 iOS 破解者就剩 Planetbeing 了，他本名叫 David Wang，是一名亞裔美國人。他此前在社交網絡上公開承認：“其實，我已經完美越獄了我 iPhone 5 上的 iOS 6.0.2。”

David 最近接受 tech crunch 科技網站的采訪時也說道：“這個漏洞真的很好，因為它讓我們理清了狀況。我們必須能夠看清我們試圖修改的代碼，從中獲取一個 Dump 文件。否則，我們基本上是一頭霧水。”

最糟糕的情況是，為了能讓廣大越獄用戶都用上完美越獄，黑客們必須犧牲他們發現的這些漏洞（原因很明顯，一旦公開越獄，蘋果就會趕緊封死這個越獄漏洞。）黑客們還不想那麼快犧牲。另外，在 Planetbeing 宣布越獄成功的時候，實際上他手頭捏著 iPhone 5 的四個漏洞，所以他們相信肯定還能找到更多漏洞，何必這麼早就犧牲這個優質漏洞呢？由此看來，我們的越獄前景非常光明，大家不必絕望。

說了那麼多，到底越獄用戶能否擁有 iPhone 5 越獄？David 的回答是肯定的。那麼何時可越獄呢？David 當然希望盡快，至少會在下一代 iPhone 發布前公開越獄。

回憶過去

從蘋果產品找漏洞可不像開發應用或網站那樣可以每天知道開發進程。查找漏洞有點類似淘金，你不能預料到哪天能淘到金子，也有可能一無所獲。

即使你剛剛接觸蘋果 iOS 設備，你或許也有聽聞過越獄的作用。越獄可以讓你給 iOS 設備添加一些蘋果不允許的功能。Cydia 是越獄用戶的天堂，在這裡可以找到各式各樣的插件，而大部分插件是被蘋果拒之門外的寶貝。解鎖和越獄也分不開，買了合約機的用戶迫切需要解鎖工具來擺脫運營商的束縛，自由選擇自己想用的運營商網絡。

在過去，iOS 的破解者們競爭意識非常強烈。當時越獄黑客們分成兩大團隊，一個叫 iPhone Dev Team，紅雪是他們的得意之作；另一個叫 Chronic Team，他們的綠毒也做出過不少貢獻。也有一些天才級別的越獄黑客選擇單干。這些黑客們互相明爭暗斗，都希望趕在別人發布前讓對方或越獄用戶大吃一驚。

那時候每一款 iOS 設備的破解者都是不同的人，David 解釋稱，誰有時間和精力都可以加入破解工作。他說：“那會兒，越獄團隊之間互相競爭，你不能跟其他團隊的人合作。現在好多了，現在每個人都齊心協力，共享資源，但這種共享不是跟整個團隊共享，而是跟我們認為誰值得獲知這些資源的個人分享。”

如今，最新的 iPhone 越獄已經不像過去那麼迅速發布了，不僅僅是因為 iOS 6 加大了破解的難度，而且也因為黑客們放在越獄的時間越來越少。黑客們都有自己用來養家糊口的工作，只能利用下班後的時間來研究。比如 David，他日常的工作跟越獄完全不相關，而 Pod2g，他也在忙著搞自己的 iOS 應用開發。

查找漏洞

找漏洞，發越獄，事情並不是那麼簡單，期間還會有些拖延時間的事情。比如說，黑客要找出不同設備中代碼的不同，並開始測試。即使完成越獄，他們還要找到可以信得過的人來測試，避免漏洞被洩露，這是最難的一個步驟。David 解釋：“這些過程需要幾天甚至幾周的時間。”

越獄不是一直都那麼難。

以前，黑客可以在 bootrom 中找到 bug，bootrom 是 iPhone 上第一個最大的代碼。不管這部 iPhone 運行的是什麼版本的系統，他們都能通過 bootrom 掌控這部 iPhone。可是現在，黑客已經沒辦法進入 bootrom。

David 說：“bottom 變得越來越小，我們甚至已經沒辦法從中提取 dump 文件。即使我們能掌握到支撐這部 iPhone 運行的代碼，就像現在，我們也看不到 bootrom。如果我們提取不出 dump 文件，我們就不能輕松找到代碼和錯誤。”解釋一下為什麼現在已經看不到 bootrom。因為當 iPhone 5 完全開啟後，bootrom 就被隱藏起來。這要從 iPhone 4 完美越獄工具 Limera1n 說起，Limera1n 利用了 iPhone 4 未被披露的一個 bootrom 漏洞來實現完美越獄，然而，也從那時候開始，蘋果封死了這個 bootrom 漏洞。

是不是 Limera1n 的越獄漏洞提醒了蘋果去修復呢？David 說：“肯定是的。因為如果不是為了越獄，誰會去關注 bootrom 呢？bootrom 是感染不到病毒的。”

今天，再也沒有 bootrom 漏洞了，黑客必須找到更多的漏洞才能向用戶公布一個完整的越獄工具。他們必須找到代碼植入型的 bug，也就是直接放在操作系統上的代碼，這樣才能對操作系統做出修改。

黑客還必須找到一個內核植入型的 bug，這樣才可以毫無障礙地進入操作系統，“告訴”內核停止驗證代碼簽名。對於 iOS 6 的越獄，黑客還必須找到方法解決內核地址空間布局隨機化（ASLR）帶來的麻煩，因為 ASLR 將內核分散到內存中，這樣內核代碼的位置就處於不可預測的境況，惡意代碼訪問系統時就難以定位系統功能的位置。蘋果的目的就是不讓黑客知道內核代碼在內存的哪個位置，黑客就不能對內核代碼做出修改了。這是黑客必須攻破的難題。

最後，黑客還必須要找出一個完美 bug，從而實現完美越獄。沒錯，黑客需要查找大量的 bug，而且是蘋果自己都沒發現的 bug。

越獄簡史

要想了解這些年來，越獄如何變得越來越困難，你首先要了解越獄的簡史。了解它的過去，才能明白現在的情況。iPhone 3G 發布後，一款叫 PwnageTool 的越獄工具出現。它的實現是基於一個 bootrom 漏洞，允許 iPhone 黑客修改設備上的操作系統。基本上就如同修改電腦的操作系統。打個比方，你的電腦運行的是 Windows，而你在電腦上安裝了 Linux。就越獄 iPhone 而言，這是非常強大的方法。

接著，iPhone 3GS 發布，此前越獄中用到的關鍵 bug 還在。直到蘋果有一天決定暫時停止制造以解決這個 bug。後來 iPhone 3GS 恢復了生產，但新一批貨已經沒有了此前的越獄漏洞，而是植入了新的 bootrom。

Cydia 之父 Jay Freeman 說：“他們（蘋果）的動機肯定是要修復這個 bug。但至於為什麼蘋果認為解決這個 bug 比解決其他任何一個 bug 更重要，我倒不是很明白。我們後來再也找不到比這更好的漏洞了。”

這並沒有阻止黑客研究其他的方法來攻破 iPhone 的代碼。

在蘋果修復了 bootrom 的 bug 後不久，越獄黑客又發現了其他的 bootrom bug，但都是些暫時更改系統的漏洞而已。就類似於你必須要依靠光盤或 U 盤來啟動 Windows，而不能將 Windows 安裝到電腦。回到 iPhone 上是指，越獄用戶只能暫時用一個新的內核啟動 iPhone 和更改系統，但是在下次啟動 iPhone 時，越獄就消失了，這就是我們所說的“不完美”越獄。因為這種越獄方法並不能真正修改 bootrom，原先的內核還是處於受保護狀態的。每次重啟 iPhone，用戶都必須再重新越獄一次。iPhone 4 發布後，黑客必須在 iPhone 程序中找到一個 bug，利用這個 bug 來訪問內核的 bug，從而修改內核。

越獄史上最輝煌的時期是一個叫 JailbreakMe 網站的出現，由天才 Comex 發布。這種方法利用了網頁浏覽器的一個 bug，使浏覽器癱瘓，從而控制了浏覽器，並植入任意的代碼到內核。

Freeman 說：“Comex 非常搞笑。他能找到大量各種各樣的漏洞。”Comex 後來被蘋果聘用，不過聽說他不是負責反越獄工作。David 告訴記者，等待越獄的用戶們無需過多擔心蘋果聘用越獄界的任何人。

有了不完美越獄，接下來就是如何讓它變得完美了，也就是讓 iPhone 無論經過多少次重啟都能保留越獄。沒有了 bootrom 的 bug，實現完美越獄最好的辦法就是掃清設備啟動時引起系統錯誤的代碼。

新iPhone新方法:每次新款iPhone一發布，黑客就要開始新一輪的漏洞查找工作。

2010 年 10 月 10 日是一個值得紀念的日子。那時候，一些破解者已經蓄勢待發，准備公開一個叫 SHAtter 的工具。可是他們還沒來得及公布，神奇小子 Geohot 從半路殺了出來，公布了他的 Limera1n 漏洞，針對 iPhone 4。隨後，包括 Pod2g、Comex 和 i0n1c 在內的其他黑客把 Limera1n 變成完美越獄功能。