iOS9.3.4越狱已被国内团队攻破，iOS9.3.3验证已正式关闭！_新智派-爱微帮
&& &&& iOS9.3.4越狱已被国内团队攻破，i…
不知小智最近在后台种经常提醒大家说如果还没有升级到iOS9.3.3的朋友尽快升级，因为iOS9.3.4已发布多日，iOS10正式版也快要来了，所以iOS9.3.3的验证随时都有可能关闭，果不其然，苹果今天正式关闭了iOS9.3.2和iOS9.3.3的验证，也就是说大家想要升级或降级iOS固件的话，最低只能到iOS9.3.4了。所以那些之前没有听小智劝解，依然选择不升级的人，就只能原地不动了。但这对这次iOS9.2-9.3.3的越狱用户来说真不是一个好消息，我们都知道这次的越狱一直都不太稳定，一旦重启手机就需要重新激活越狱，这都没什么问题，重要是一旦出现需要重刷固件问题的时候，这就让人不敢动手了，这会让人很纠结，不刷固件就解决不了问题，可一旦重刷固件，越狱又没了。还好小智之前给大家介绍过Cydia Eraser这个平刷工具，但这也不是百分百成功的，这个工具是在万不得已的时候才用的，因为平刷失败的风险也挺大。好了，说再多也没用，苹果既然关闭了验证，那谁都无力回天，也许我们可以期待一下iOS9.3.4的越狱，因为希望是有的。iOS9.3.4虽然封堵了之前被用到的越狱漏洞，被不少人认为已经是比较安全的了，但真的是这样吗，可iOS9.3.4最近还是被攻破了，还是国内的阿里巴巴安全团队。最近的进展是阿里巴巴移动安全团队已经成功替iOS9.3.4植入Cydia越狱工具（文章尾部我们会 放出越狱视频），这是不是也代表iOS9.3.4依旧是存在有越狱漏洞?以下内容来自阿里巴巴安全团队包括龙磊、黑雪、蒸米等大神以iOS9.3.4为例对iOS的安全问题做的解释，小智并未做任何修改，以下内容可能会比较专业，如果大家不愿意看的话，也可以跳到文章最后部分看小智对于这次iOS9.3.4越狱的简单解读：0x01 代码签名(CodeSign)为了保护开发者的版权以及防止盗版应用，苹果系统拥有非常严格的签名保护机制。想要开发iOS程序，必须先注册开发者账号，并向苹果申请相关的证书，否则程序只能在模拟器上运行，无法在真机上调试，也无法上架App Store。除了传统的签名机制以外，苹果还额外增加了Team ID的安全防护措施，用来增强iOS系统的安全性。(1). 传统签名机制 - 数字证书传统的签名机制即iOS系统中使用的数字证书机制。数字证书是一种对数字内容进行校验的方法，它首先对内容使用摘要算法(例如MD5，SHA1)生成一段固定长度的hash值(可以理解为原内容的摘要)，然后利用私钥对这个摘要进行加密，得到原内容的数字签名。接受方一并接收到原内容和数字签名，首先用相同的摘要算法生成原内容的摘要，同时用公钥解密数字签名，得到摘要2，然后比较摘要1和摘要2，若相同，则验证原内容有效。我们从苹果MC(Member Center)中获得的数字证书就是被苹果CA签过名的合法的证书。而iOS设备在执行app前，首先要先验证CA的签名是否合法，然后再通过证书中我们的公钥来验证app是否的确是开发者发布的，且中途没有对程序进行过篡改。理论上想要破解或者绕过这个签名机制，需要能够获取到苹果的私钥，或者能够找到签名校验过程中的漏洞。(2). 签名校验的实现iOS在运行代码前，都会对即将运行的代码进行签名校验。签名的校验机制是运行在内核里的。因此想要关闭这个校验的话，需要对系统进行越狱才行。内核在vm_fault_enter中规定了绝大部分情况下，具有执行位的页需要进行签名有效性检查，如果检查到该页签名无效会为进程设置kill flag。签名校验分两种情况;如果binary是platform binary，系统会直接校验binary的哈希值是否存在于trustcache中。如果binary是第三方应用程序，会先在内核在检查执行页对应hash值，而页hash对应的签名由用户态进程amfid校验其正确性。(3). Team IDTeam ID 最早在iOS 8中被提出，在iOS 9中得到了进一步的加强。Team ID的出现主要是为了阻止攻击者将自己的动态库加载到不属于自己的executable中，常见例子：越狱过程中将动态库加载到系统进程，获得沙箱外的任意代码执行能力;恶意应用通过沙箱逃逸将自己的动态库加载到别人的app运行环境，盗取账号密码等有价值的信息。所以Team ID的具体的校验逻辑就是根据这个原则来设计。除了特殊情况，系统的进程只能加载系统的动态库。第三方app根据自己的Team ID来决定哪些具有相同Team ID的dylib能被加载。0x02 沙盒机制(SandBox)很多系统都有沙盒机制，但是像iOS这么复杂的却很少。iOS从UID/GID permission，MAC和entitlement三个维度实现了整个系统的沙盒机制：(1). UID/GID permission一般情况下，iOS会将进程的权限分为root和mobile，一些特殊的模块(比如基带)会有自己的用户组。需要注意的是，所有第三方的app都是运行在mobile权限下的。(2). iOS Mandatory Access ControliOS的MAC在TrustedBSD Mac Framework基础上实现，在内核具体接口、具体位置插入权限hook check(mac_** call)，在发生调用时检查当前进程是否满足调用的MAC police。而进程的MAC police主要是通过sandbox profile。Sandbox profile是苹果为每个系统进程或app预设的，例如：哪些文件可读可写，哪些不能;哪些system call可以调用，哪些不能等等。对于系统进程，一般情况下苹果会为不同的系统进程配备不同的sandbox profile，既满足业务需求，又遵循权限最小化原则。对于第三方app，则是统一配备名为 Container 的sandbox profile，这个profile里面的内容限制可达数千条。限制非常严格，以致于只有很少数的syscall能在第三方app内访问。一些安卓中非常普通的调用，例如fork，exec等创建子进程的系统调用，在第三方app内都是无法生效的。我们常说的沙盒逃逸，其实目的就是跳出container的sandbox profile。(3). EntitlementEntitlement的出现主要是为了上面两个维度都无法解决的权限检查问题。假设有这样的场景：进程 A 是 service 、进程 B 是 client，两者通过IPC通讯。进程A提供的服务接口分别有：a1 , a2 ，其中只希望接口a1能被B访问。因为检查发生在用户态，不能直接使用TrustedBSD Mac Framework，同时需要有更简单的查询方式，这样就需要在a2接口的代码中加入权限校验。基于entitlement的校验框架就是在这个需求背景下被提出来的。业务进程只需要关注entitlement的内容，而entitlement的正确性由签名保证。比如想要访问提供了能删除app的接口的”com.apple.mobile.installd”服务就必须拥有对应的”com.apple.private.mobileinstall.allowedSPI” entitlement才行。而lockdownd这个service是用于和iTunes交互来进行安装、升级、删除应用的，所以这个服务为了能与installd服务通讯，进行删除app操作，就需要拥有”com.apple.private.mobileinstall.allowedSPI” 这个entitlement：0x03利用缓解(Exploit Mitigation)除了常见的Stack Canaries、 ASLR和DEP等利用缓解技术之外，iOS还有很多高级的或者独有的利用缓解技术：(1).栈金丝雀保护 (Stack Canaries)栈金丝雀保护是已知的放置在缓冲器和控制数据之间的一个随机值。当缓冲器溢出时，最先被破坏通常是金丝雀值。因此当金丝雀的数据的验证失败的时候，就表示出现了缓冲区溢出，从而触发保护机制，并使程序停止运行。(2).地址随机化 (ASLR/KASLR)为了增加攻击者预测目的地址的难度，防止攻击者直接定位攻击代码位置，用户态进程在每次启动时的执行文件基址都是随机生成的。并且，在每次手机重启后，内核kernel mach-o的基址也是随机的。(3).数据执行保护 (DEP)DEP是为了防止数据页执行代码。通常情况下，默认不从堆和栈执行代码。DEP会检测从这些位置运行的代码，并在发现执行情况时引发异常。在mprotect对应的内核实现中，不允许page被同时赋予执行和写这两种权限。当page的权限发生变化或一个新的page mmap到内存中的时候，vm_fault_enter会检查这个页是否有执行位，如果有执行位，会对这个页做签名检查。(4). 堆释放元素保护 (Heap Free Element Protection)在iOS中，如果修改一个zone中已释放的free element，当内存管理器再次分配内存到这个free element的时候会发生随机panic。具体的逻辑是，当element被释放后，内核会根据重启时创建的token生成一些内容填充在element中。这样一方面用户态无法得知填充的内容是什么，另一方面内核在分配内存的时候可以根据token知道这个element有没有被修改，如果被修改就产生panic。(5).堆元素地址随机化 (Random Heap Element Address)iOS系统在释放内存块的过程中，会对内存释放后在free队列中的顺序进行随机化处理，这个安全措施主要是使用攻击者无法根据堆喷接口调用的时序来预测对应元素在内核的布局。(6).内核补丁保护 (Kernel Patch Protection)ARMv8-A架构定义了四个例外层级，分别为EL0到EL3，其中数字越大代表特权(privilege)越大:EL0: 无特权模式(unprivileged)EL1: 操作系统内核模式(OS kernel mode)EL2: 虚拟机监视器模式(Hypervisor mode)EL3: TrustZone monitor modeKPP就是运行在Application Process 的 EL3中，目的是用来保证：只读的页不可修改、page table 不可修改、执行页不可修改。0x04 总结虽然iOS有众多的安全机制和缓解措施，但这并不代表iOS系统牢不可破。有时候一些不起眼的小错误就可能导致蝴蝶效应，最终造成整个安全系统的崩盘。通过对最新的iOS 9.3.4研究，我们团队依然找到了iOS系统上的一些安全问题，甚至可以导致整个系统被控制。对于以上的内容，大家可能看不太懂，但小智总结起来，阿里安全团队的意思就是iOS9.3.4依然存在有可以被利用到的漏洞，也就是说iOS9.3.4越狱的可能性是存在的。接下来的问题就是iOS9.3.4的越狱会由谁来出呢，大家应该知道这次iOS9.2-9.3.3是由盘古联合PP助手在一片不被看好的情况下推出的，盘古和PP的关系就不用多说了，大家都懂的。而PP助手又是阿里巴巴旗下的，这次阿里安全团队为iOS9.3.4的安全问题做了详细的解答，发现并提到了可以被利用到的漏洞，而由阿里安全团队本身来出越狱似乎有点不太现实，最有可能的就是会把发现的漏洞交给盘古团队，由盘古对这个漏洞进行更加深入的研究，从而为日后推出越狱工具做好充分的准备。但大家也要清醒的认识到，越狱漏洞这种东西是异常珍贵的，之前从iOS9.2开始，一直没有越狱工具推出，就是因为越狱团队不想漏洞被轻易的用掉，从而等到iOS9.3.3正式版推出后才放出越狱工具。同样的，小智认为这个漏洞用来单独出一个iOS9.3.4越狱的可能性不太大，而且越狱工具发布前的测试也是个漫长的过程，就像这次iOS9.2-9.3.3越狱，我们相信盘古在发布工具之前已经经过大量的测试，但在实际越狱过程中依然出现了不少的问题。所以接下来的越狱可能至少要等到iOS10正式版出来之后才有可能出现，而且iOS10可以说是苹果有史以来更新最大的一个版本，越狱的难度是可想而知的，但并非没有可能，所以大家可以期待，但不要过度着迷。接下来给大家展示下载最新的iOS 9.3.4上获取系统最高权限并安装cydia的过程：对于此事，期待小智的后续给大家带来的第一手资料。已有10万+果粉关注加入新智派，就等你了！微信ID：knewsmart长按左侧二维码关注
点击展开全文
悄悄告诉你
更多同类文章
还可知道有多少人阅读过此篇文章哦
阅读原文和更多同类文章
可微信扫描右侧二维码关注后
还可知道有多少人阅读过此篇文章哦
客官！小智在这里等你，爱搞iphone及智能手机相关福利，也有好玩新鲜的周边智能硬件。如果相遇了，别错过。约吧！
您的【关注和订阅】是作者不断前行的动力
本站文章来自网友的提交收录，如需删除可进入
删除，或发送邮件到 bang＠ 联系我们，
(C)2014&&版权所有&&&|&&&
京ICP备号-2&&&&京公网安备34国内大神演示iOS9.3.4越狱成功视频 可惜看的到用不到
作者：那个胖子
8月26日，苹果更新了iOS9.3.5系统，据悉是为了紧急修复一个间谍软件和蓝牙连接问题，而在不久前，苹果也已经正式关闭了了iOS9.3.2和9.3.3的验证，这意味着iOS9.3.4的用户再无退路，也给不少iOS9.3.3越狱的用户带来了不少困扰。不过现在，iOS9.3.4的越狱消息又有了新的进展，继前段时间国外黑客大神放出了疑似iOS9.3.4越狱成功的照片后，国内一位名叫Min Zheng的越狱开发者也放出了一段疑似成功越狱的视频。一起来看下这段iOS9.3.4的越狱演示视频吧：从视频上不难看出，Min Zheng在自己预装了iOS9.3.4的iPhone6手机上运行一个名叫OverSky的越狱工具，在经过一段时间的代码执行过程后，象征着越狱成功的“Cydia”字样便出现在了iPhone6的主屏幕上。而为了证明自己确实将iOS9.3.4越狱成功，开发者还打开了“Cydia”进行测试。“Cydia”显示的系统版本号也确实是iOS9.3.4。但最大的问题就在于，很多越狱工作者只是将iOS越狱工作当成一种兴趣和挑战，他们并不会将自己的越狱工具对外公布，而且这个视频中所演示的iOS9.3.4越狱不一定就是完美越狱。所以，想要iOS9.3.4完美越狱，或许还要等待一段很长的时间，或者干脆等待9月份苹果即将推出的iOS10系统吧。
【责任编辑：】
搞趣网品牌产品
搞趣网官方微信
微信号： 扫我！
每日推送最热最新的搞趣网游戏资讯
您还能留下200个脚印
球球大作战如何合理开木箱方法详解，下面就为大家详细讲球球大作战如何合理开木箱方法详解，希望这篇球球大作战通关攻略对有在玩的小伙伴们有所帮助。
剩余： 100%大神在民间
iOS9.3.4越狱成功！
来源：爱思助手
浏览次数：9310
尽管苹果昨天发布了iOS9.3.4，在该版本中苹果也封杀了盘古在iOS9.2-9.3.3工具中所使用的漏洞，不过似乎苹果还没有能够发现另外的安全漏洞。因为著名的iOS黑客和开发者Luca Todesco，又开始在社交网络上分享他最新的破解成果了。今天他在Twitter上展示了一台成功越狱的iOS9.3.4的iPhone6s，尽管盘古的越狱工具不适用于iOS9.3.4，不过这位黑客看来要证明iOS9.3.4也依然有漏洞可寻。Todesco目前正在参加一个名为DEF CON的开发者大会，这是全球最大的地下黑客大会，众多电脑界的精英和 IT 专业人士都会聚集于此。值得一提的是，尽管Todesco多次为我们带来过iOS设备成功越狱的图片和视频，但是对于放出越狱工具一事，他似乎并不热衷。当然，越狱工具是一项艰巨的工作，开发者们并没有义务为我们带来越狱工具。不过从越狱用户的角度来看，至少我们知道iOS9.3.4还是可以被攻破的。iOS9.2-9.3.3越狱工具发布 越狱目前存在的问题
iOS9.2-9.3.3越狱工具发布 越狱目前存在的问题
因为升级iOS9.2以上而入狱的朋友，现在好消息来了，iOS9.2-iOS9.3.3越狱工具已经正式发布。但跟以往不同的是，iOS9.2-iOS9.3.3越狱是一种全新的按需越狱方式，用户可通过重启手机，来简单切换越狱和非越狱状态，有点类似我们以前常说的不完美越狱。想要尝鲜iOS9.2-iOS9.3.3越狱的朋友，建议先仔细阅读以下内容再做决定。
1.什么是按需越狱？跟完美越狱有何区别？
按照盘古官网的介绍，这种全新越狱方式可根据用户的需求来选择。当需要越狱环境时，执行越狱程序可达成越狱状态。需要非越狱环境时，重启手机即可。类似早期的不完美越狱，当设备重启后，越狱状态消失，Cydia会闪退，破解软件会闪退，插件也无法使用，需要再次用越狱工具激活才能恢复越狱状态。
2.全新的越狱方式有什么风险？
iOS越狱毕竟打破了苹果原本封闭的系统，可能会导致系统出现不稳定的情况，因此受到恶意软件攻击的几率也增大。此前我们也多次报道过，越狱设备受到恶意软件攻击的事件，建议iOS用户谨慎选择越狱。另外要特别注意的是，全新的越狱方式由于越狱状态随着设备的重启会消失，一些需要在越狱环境下运行的软件和插件就会失效，因此使用起来也较麻烦。
3.越狱工具目前有什么问题？
由于iOS9.2-9.3.3越狱工具刚发布不久，不太稳定，一些用户遇到的问题，常见的有：下载工具输入apple ID提示未知错误；越狱工具一直停留在下载过程中；越狱过程卡住手机重启无反应；设备显示存储容量几乎已满；iPad Pro越狱失败等问题，皆可通过重启手机重新尝试。但建议不着急越狱，先观望一阵，待工具稳定后再做尝试。
如果你越狱失败并且系统无法正常使用，那么需要通过刷机来解决问题。先在电脑上安装同步助手（），然后连接设备到同步助手，点击【刷机越狱】功能，就可以进行一键刷机了。
4.关于iOS9插件问题？
如果你是冲着插件去越狱的话，请注意由于越狱模式的改变，一些插件还不支持最新版本，甚至部分插件可能导致设备不能重启，所以安装插件前一定要慎重，做好数据备份。
经测试，目前基础插件 Apple File Conduit “2”（afc2补丁，允许第三方助手访问系统文件，可进行自定义主题修改字体等操作）和Appsync（破解补丁）支持iOS9.3.2，其他常用插件还在测试中。如果你安装了不兼容的插件请在Cydia里的已安装插件中卸载最近安装的插件即可。
插件安装方法：打开Cydia，点击软件源-编辑-添加-输入源地址，即可在里面找到常用插件。
5.iOS9.2-iOS9.3.3越狱支持所有设备么？
目前越狱仅支持64位的设备，即 iPhone5s、iPad mini2、iPad Air 及以上设备。完整设备支持型号，参考下图。
6.关于数据安全
如果您决定要尝鲜越狱，为了数据安全，请一定要做好手机备份，以防造成重要数据丢失。使用电脑上的同步助手（），连接设备，点击”更多功能-备份还原”进行数据备份。同时支持【找回】已经删除的微信聊天记录，不需要曾经备份过，可直接找回。
编 辑：王洪艳
余承东： 华为超越苹果三星 需四到五年时间
CCTIME推荐
CCTIME飞象网
CopyRight &
京ICP备号&& 京公网安备号
公司名称： 北京飞象互动文化传媒有限公司
未经书面许可，禁止转载、摘编、复制、镜像