从一台 iPod Touch 2G，开始讲 iOS 的越狱简史

2017 年 9 月 6 日 少数派 芍薬居P

越狱的故事，你还记得多少呢？

好几年之前，大约在 2009 年左右，我还是一名初中生。那年我跟我父亲去逛商场，看到通常的 Apple 授权专卖店。在那个时候，Apple 授权专卖店总是围满了孩子。而且现在也是。

在那个时候，我不太记得是什么情况了，当时我父亲给我买了一台 iPod Touch 2G，8 GB 版本，还搭载着 iPhone OS，而非 iOS。有趣的故事来了，当时购买之后我还非常疑惑：这个设备该怎么开机？店员轻描淡写地告诉我，开机键就在设备上方，长按住那个黑色的按钮就行了。当时的我仅仅只注意到了设备前方的一个大大的 Home 键。

少数派之前也分享过不少 iOS 的文章。扫描二维码关注少数派，回复「iOS」了解更多。

这不是我第一次接触 Apple 设备了，但是这是我第一次接触 iOS（iPhone OS）设备，我第一台 Apple 设备是一台 iPod mini，一个早已停产的，黑白屏的 iPod。

第一次使用 iPhone OS 设备对我也异常艰难，因为要搞懂那一套机制对我来说有些艰难。不过我也慢慢地学会了怎么安装软件等等操作。有趣的是，当时 Wi-Fi 还不是很常见的东西，当时买来 iPod Touch 还以为这个设备不能上网，后来才知道了有 Wi-Fi 这样的东西，当时无线上网对我来说还是很奇妙的体验。

当然，iOS 上的功能限制也非常多。比如为什么没有九宫格输入法等等，这些限制相信老 iPhone 用户都知道。或者我想自定义我的设备，比如把操作系统换个主题颜色等等。还有则是一些盗版行为，比如当时我们希望免费获取一些在 App Store 里收费的软件。

这些问题在当时我也遇到过，也想过去怎么解决。后来经过我不断地谷歌，终于看到所有的搜索结果都有两个字：「越狱」。

越狱这两个字当时让我既感到陌生，又感到敬畏。因为越狱隐藏着违规的含义。这也是事实：苹果公司发布对于越狱 iOS 系统的的支持文章中声称：「拒绝为已经越狱的 iPhone、iPad 或 iPod touch 提供保修服务」。1 这个政策还是有办法绕过的：如果仅仅是碎了屏幕或者其他不影响操作的故障的话，只要用 iTunes 把手机返回原始状态就好了。根本上来说，越狱就是获得手机的最高权限。就好像你在比如 Debian 或 Ubuntu 的操作系统上获取 root 权限一样。

当时面对越狱非常恐惧的我，也上网查找了许多资料，包括越狱有什么好处坏处，究竟值不值得，会不会把我的设备变成砖块等等。经过多天的调查，在一天晚上，我毅然决然地决定，给我的 iPod Touch 2G 越狱。

现在我们开始说了越狱，就不得不讲讲越狱界的一代传奇软件：redsn0w。对于经历过 iPhone OS 时代的人来说，这个软件他们肯定会有所耳闻。

▍越狱界的一代经典传奇

redsn0w 是我接触的第一个越狱软件，虽然很简陋，也是给我印象最深的一个，因为这个软件是最麻烦的一个。我也一直记得，越狱完毕之后那个奔跑的菠萝加上下面的进度条，看到这个界面，就表示你进入了越狱的最终阶段，可以把设备从电脑上拔下来了。当时我就是用 redsn0w 为我的 iPod Touch 进行了第一次越狱。

redsn0w 标志性的图标

redsn0w 由 iPhone Dev Team 开发。iPhone Dev Team 的核心成员有越狱界熟知的肌肉男（MuscleNerd），comex，planetbeing 和 Cydia 的开发者 saurik。

我为什么会说这个软件是越狱软件中使用最麻烦的一个呢？因为大概只有 redsn0w 这款软件没有做到一键越狱。什么意思呢？在使用这个软件越狱的时候，我们需要手动进入 DFU 模式。

我对 DFU 模式的印象最为深刻，因为当时在威锋社区，有许多尝试越狱的用户们都卡在了这一关。新手们有的时候反应不过来，加上软件纯英文，给大家带来了不少难度。具体怎么进入 DFU 模式呢？

当设备关机时，按住电源键两秒。
接下来不要松开电源键，开始按住 Home 键，保持十秒。
松开电源键，保持按住 Home 键，保持时间最多十五秒。

等你听到 Windows 标志性的设备插入声之后，恭喜你，你成功进入了 DFU 模式。DFU 模式到现在也非常有用，比如想刷机的时候，直接进入 DFU 模式之后插上电脑就能直接刷机。

当时，越狱还分不完美越狱和完美越狱，这两个有什么差别呢？不完美越狱是指，越狱一次之后不能重新启动你的设备，否则就会进入「白苹果」状态：指开机的时候卡在苹果标志上，导致无法进入系统的情况。一旦你重新启动，就需要将你的设备连入电脑，打开 redsn0w，然后根据软件的指示来进入系统。完美越狱则简单的多，关机重启不会影响越狱状态。对于用户也更加友好。并且，有些设备可以完美越狱，有些设备则不支持完美越狱。

redsn0w 还支持其他功能，比如更改启动界面（替换白苹果），解锁 iPhone（当时在国外购买的 iPhone 并不在软件上支持全网段，所以需要解锁），利用 SHSH 签名降级设备固件等。

redsn0w 软件界面

现在， iPhone Dev Team 的官网现在已经打不开了。redsn0w 也一直支持到了 iOS 6.0 的越狱之后就停止了。后期的 redsn0w 跟一些一键的越狱软件共存，自然也就渐渐淡出了大家的视线。不过我个人感觉，这款软件在当时有许多有用的功能，是一个很实用的软件，也是一代传奇。

▍Safari 直接越狱——还有这种操作？

上段中我们提到了 comex 这个人，comex 是一个很年轻的黑客，出生于 1992 年。曾获得不少安全方面的大奖。那么在这段，我们就来讲讲他开发的 JailbreakMe。

当时的越狱，我们还习惯于将手机连接到电脑，然后进行一系列的复杂操作才能成功。总而言之，越狱是一项非常麻烦的任务，而且对新手也不是很友好。不过，comex 开发的 JailbreakMe 则彻底改变了我们对越狱的印象。

当时的我们还不敢想象，怎样才能不依靠电脑来进行越狱，怎样才能做到一键越狱。comex 做到了，JailbreakMe 大概也是唯一一个不需要计算机进行操作的越狱软件。

JailbreakMe 的操作界面

你有没有想过，只要简单一滑，就能给你的设备越狱，这在当时简直是惊讶性地方便，而且再也没有进入 DFU 模式的烦恼，对新手非常友好。

JailbreakMe 的易用性也让大家惊讶不已：JailbreakMe 2.0 发布当天，其服务器就被挤爆，越狱需要的内容的下载速度也一度变得非常缓慢。

不过，这个漏洞总是会有被修复的时候。由于这个越狱利用的是 Freetype 字体解析器漏洞，所以我们才能用到这样方便的越狱。JailbreakMe 2.0 支持 iOS 3.1.2 - 4.0.1 的完美越狱，苹果在 iOS 4.0.2 封堵了这个漏洞。

但是封堵了不要紧，因为还有 JailbreakMe 3.0，2011 年 JailbreakMe 3.0 发布，也是利用了字体解析器漏洞，支持 iOS 4.3 - 4.3.3 的完美越狱。

JailbreakMe 非常易用，comex 这个人也很天才：9 岁开始学习 Visual Basic，也曾经负责过 Wii 的破解。在开发出 JailbreakMe 之后，comex 被苹果招安，招安之后 comex 表示将不再负责越狱的开发。

▍梦之队——Absinthe 的一键越狱

Chronic Dev Team 同样也是一队研究 iOS 安全的黑客，成员有四位：DHowett，Jaywalker，semaphore，westbaer。说实话这些黑客们我都不太熟悉。但是他们开发的 Absinthe 越狱，却被称为了「梦之队」的合作成果。

Absinthe 越狱由 Chronic Dev Team 和 iPhone Dev Team 合作开发，这就是为什么这次成果会被称为「梦之队」，其中 Chronic Dev Team 负责了越狱的 GUI 版，iPhone Dev Team 负责了越狱的命令行工具。

Absinthe（greenpois0n）当时负责了 iOS 4 以及 iOS 5 的越狱。幸运的是，我的 iPod Touch 2G，现在搭载 iOS 4.2.1，使用了 Absinthe 进行越狱，想给大家看一下越狱之后的模样。

开机时苹果图标会变成这样

Cydia 的界面，很可惜这台 iPod Touch 没有截图功能

这台 iPod Touch 的越狱也很简单——虽然没有 JailbreakMe 那么简单，不过也就是将设备插上电脑，打开软件，按下越狱的按钮，然后「坐和放宽」吧。

Absinthe 的界面，可以看到非常简单，无需手动进入 DFU 模式

软件界面中我们也可以看到，这次越狱也是使用了我们非常熟悉的几位黑客，包括 pod2g，planetbeing 等等人物，可以说他们为越狱社区做了很多贡献。

▍转折——越狱界的一次笑话

evasi0n 7 运行界面

iOS 6 发布时，一个全新的越狱团体出现在我们眼前，他们就是 evad3rs，还是我们熟悉的成员：

pod2g，MuscleNerd，planetbeing 和 pimskeks。他们宣布了负责 iOS 6 越狱的开发。开发过程非常顺利，他们开发的越狱叫做 evasi0n，这个单词有逃脱的意思。

接下来我想先讲讲越狱社区是怎么样合作的，每次一个黑客团体发布越狱之后，他们必定会联系 saurik，也就是 Cydia 的开发者，saurik 会开发出适合当前 iOS 版本的 Cydia。Cydia 作为一个越狱后的 iOS 软件包管理器是必不可少的。接下来，有趣的故事开始了。

iOS 7 发布时，evad3rs 宣布他们继续负责 iOS 7 的越狱。那年圣诞对越狱界，是一场不小的风波。

evasi0n 7 在 2013 年 12 月 22 日发布，这次发布非常突然，可以说是悄无声息。发布那天，大家异常狂喜，纷纷开始越狱，其中就包含许多中国用户，越狱完毕之后，这些中国用户发现，自己的设备越狱完毕之后，变得异常地不稳定，包括白苹果和 Cydia 崩溃等故障。他们还发现了一个奇怪的软件：太极助手。

事实上，当用户访问 evasi0n 7 的官网的时候，只要网站检测到你的浏览器首选语言是中文，就会引导到你进入一个中文特供的网站，下载软件虽然跟英文网站下载的并无两样，但是软件仍然会判断系统语言来给越狱后的设备安装太极助手。

在国内，「助手」这两个字大多跟盗版有着许多联系，太极助手也是一样，太极助手基于 Installous 和 AppSync 开发，这两个软件的性质都是解除 App Store 的 DRM 限制，方便用户安装盗版软件，太极助手只是这两个软件的外壳。讽刺的是，越狱社区们，包括 evad3rs，他们非常痛恨 Installous 这个盗版软件的技术。

在这件事情被曝光之后，evad3rs 发出公开信，称自己并不知道太极助手有盗版行为，之前他们认为这是一款对中国用户有利的软件，所以接受了太极助手发出的合作请求。他们表示，如果太极助手有盗版行为，他们将会剔除太极助手。果不其然，在 1.0.1 版本，evasi0n 7 就移除了太极助手。

移除太极助手的声明

事情发生之后，国内 iOS 社区，包括威锋网都炸了锅。面对中文越狱社区的指责，太极助手也发表了声明，称自己与 360 没有关系，而且不存在与 evad3rs 的 100 万美元交易2 ，他们更指出，网络上的批评都来自水军。

i0nic 的推特翻译

究竟是不是水军，大家可以网络上搜索一下关于太极助手的事件，相信大家都能明白究竟是什么情况。

而且，不光是 evad3rs 被耍了，Cydia 的作者 saurik 也被耍了，他也发出了一些声明，其中就包括自己并没有收到 evad3rs 的通知来开发适合 iOS 7 的 Cydia，也解释了大部分人 Cydia 崩溃的问题。更可怕的是，saurik 两个月前就听说过太极助手想要寻找合作伙伴，也警告过 evad3rs 不要相信他们。

对于用户来说，这代表着更严重的问题，也就是你对越狱开发者是否信任的问题。我们都知道越狱是给手机获得最高权限的操作，这也恰恰就代表着越狱开发者们能在你的手机上做任何想做的事情，包括安装后门记录用户隐私等。当然事实证明他们没有这么做。

最后，在 2013 年 12 月 23 日，太极助手开了一个让人哭笑不得的「iOS 7 越狱发布会」，声称这次越狱是太极助手自己研发，他们还有一个目标，就是完成 iOS 8 的越狱。

到这里，这个笑话就算是告一段落了。不过接下来还有一个简单的故事，是关于越狱社区对越狱漏洞的看法。

▍iOS 7.1 ——盘古越狱的漏洞之争

盘古越狱界面

iOS 7.1 的越狱是第一次由中国团队解决的越狱方案。不过，这款越狱的第一版使用了一个漏洞，让他们也受到指责。这个漏洞就是 i0nic 的 Infoleak 漏洞。

事实上，i0nic 经常举办一些付费的培训课程，但是学员也并没有要求签署保密协议。因为使用了 Infoleak 漏洞，i0nic 指责盘古越狱是「小偷」。之后在 1.1.0 版本的盘古越狱，开发者们用了另外一个漏洞来替换了 Infoleak，此举也再次招到指责，称此漏洞本可用在 iOS 8 的越狱上，浪费了大好机会。

我们可以看出来，越狱社区对漏洞也极为珍惜。确实，一个漏洞具有很高的价值，也侧面反映出了 iOS 是一个安全方面非常完善的系统。

▍之后的故事

从 iOS 8 到 iOS 9，这两个版本的越狱也一直由中国团体所负责。有些越狱软件同样也附带了一些「助手」，不过是可以移除的。

不过，从 iOS 9 开始，我们可以发现，越狱越来越难了。有许多设备无法越狱，其中就包括现正当道的 64 位设备。可以看出，64 位设备不仅是架构的改变，也是安全性上的改变。

还有一个细节，就是越狱出现了一种不同的形式，我们称之为半完美越狱：每次重启设备，越狱就会失效，但是设备能够启动。想要恢复之前的越狱状态，还是需要连接电脑来进行操作。

到了 iOS 10，越狱变得极其困难，到现在我们还没有找到稳定的越狱方法，唯一能用的越狱软件：yalu，也被开发者保留在了永久的 beta 状态。不过这也很好地说明了我们 iOS 设备以及软件的安全性在不断提高。

▍越狱的价值

之前我们越狱，是为了实现一些扩展功能，比如九宫格第三方输入法，来电归属地显示，快速操作等等。仅仅快速操作，我们就有 SBSettings 和 Activator 这两个插件，这两个插件可谓是在当年必装的两款插件。有些时候我们也会为了美化我们的设备而进行越狱，比如 Barrel 这款应用就为主屏幕切换页面增加了不少华丽的效果，也是当代我的必装插件之一。当然还有一些人的越狱价值就是安装盗版软件。

总而言之，随着 iOS 的完善以及功能的不断增加，我们也可以看出来许多功能都有来自越狱后插件的创意。控制中心就是一个很好的例子。

关于盗版软件，其实我们现在的正版意识也越来越高，大家频频在 Steam 购买游戏就是一个很好的例子，加上 App Store 里的应用也不像以前一样贵3 。所以越狱也失去了其一定的价值。

所以，越狱对于潜在用户还有什么价值呢？也许已经没有太多了。不过对于开发者以及黑客们来说，iOS 的越狱是一种挑战，他们竭尽全力攻破这个系统不是为了恶意行为，而是为了展示自己超凡的能力；或者潜在来说，他们也为了白帽子黑客社区做一份自己的贡献，他们的热情，他们不断探索的精神，值得整个黑客界的尊敬。他们尝试着去攻破 iOS 这个操作系统，也一步步地使 iOS 变成了更加安全、让我们更加信赖的系统。