”杰伊·弗里曼(Jay Freeman)说：“苹果的动机其实很好理解，iPhone存在一个bug，他们希望将它修复。至于苹果为何认为那个bug，比其他未被修复的bug重要，那我就不清楚了。但我们再没找到过比那个更好的bug了。”所谓Cydia，其实就是越狱“应用商店”，让用户可以在iPhone越狱以后安装到上面。

越狱，就像一场与苹果的“猫捉老鼠”游戏

道高一尺魔高一丈

但是，苹果的努力并未阻止黑客继续寻找其他破解iPhone代码的方法。在苹果修复了那个bootrom漏洞之后，越狱者很快就发现了其他的 bootrom漏洞，但这些漏洞只能让他们对系统做出暂时的修改。我们再次用上面提到的例子，这就好像是你必须要依靠光盘或U盘来启动Windows，而不能将Windows安装到电脑。

在iPhone上面，这意味着越狱者只能暂时用一个新的内核启动手机，而这个内核又不保护iPhone的系统，同时还需要激活硬盘，更改iPhone的系统来做不同的事情。也就是说，运行所有可以更改iPhone行为的越狱应用。

但在这种情况下，内核仍然受到保护，因为bootrom未被修改或破坏。这就意味着，在iPhone下一次启动时，此前的越狱就无效了。这种方式被称为“非完美越狱”，即每次重启iPhone，用户都必须再重新越狱一次。等到iPhone 4发布时，越狱者只好从手机内置的程序中寻找漏洞，以便可以找到内核中的bug，只要找到了这个bug，他们就可以用来修改内核，进而更改手机上的其他软件。

这方面最典型的案例就是JailbreakMe网站，这个网站由一个名为“@comex”的越狱者创立。JailbreakMe利用了网页浏览器的一个bug，使浏览器陷入瘫痪并进行控制，以便向内核植入任意代码。弗里曼说，“Comex令人太不可思议了。他发现了那么多漏洞。”

Comex后来被苹果招至麾下，但听说他在苹果的工作与越狱毫无关系。戴维·王表示，等待越狱的用户不必对苹果从越狱社区挖角过虑。

接下来，就是让此次越狱变得“完美”——即无论何时重启iPhone，都能直接进入越狱状态。这需要越狱者在系统中植入某种代码，当 iPhone重启时修改系统，解除它的安全防护。没有了bootrom漏洞，比如在iPhone 3G或3GS上面发现的漏洞，那么这便成了实现完美越狱的最好办法。

越狱大神Comex后来被苹果招至麾下，但听说他在苹果的工作与越狱毫无关系。

“猫捉老鼠”游戏

苹果每次发布新一代iPhone时，越狱者寻找漏洞的努力都要重新开始。iPhone 4的越狱就是一个典型的例子。

2010年10月10日，一个值得纪念的日子。那一天，越狱社区的几位成员正准备发布一款名为SHAtter的工具，一个名为“Geohot” 的黑客却半路杀出，抢先发布了针对iPhone 4和iPad的越狱工具“Limera1n”。随后，@Pod2G、@Comex和@i0n1c等黑客也加入了进来，试图实现对iPhone 4的完美越狱。

Limera1n之所以很重要，是因为跟JailbreakMe网站式越狱不同，前者利用的bootrom漏洞在整个设备的使用寿命期间都是有效的，而后者只是利用了浏览器的漏洞，苹果可以很容易发布补丁进行修复。

弗里曼解释说：“想要修复bootrom的漏洞，你必须扔掉旧手机，换一部新的。因此，苹果总是拿Limera1n没办法。Limera1n会存在于每一部出厂时就带有那个漏洞的设备中。”当然也有例外，那就是暂时停止产品生产，以修复漏洞，就像苹果以前对付iPhone 3GS越狱那样。

在iPhone4S发布时，苹果与越狱社区之间的“猫捉老鼠”游戏仍在继续上演。由于Limera1n利用的bootrom漏洞在iPhone 4S中被修复，黑客们只好重新寻找基于“userland”的漏洞——软件上存在的漏洞，例如JailbreakMe利用的浏览器漏洞。

这种漏洞在被黑客发现并用来开发越狱工具时，它们可能会在苹果下一次固件升级中得到修复，如iOS 4、iOS 5、iOS 6和一些较小的固件升级。黑客们将这个过程称为是“烧掉”漏洞，因为苹果总是能够推出补丁修复，所以它们用过一次就失去了效用。

“Corona”是一个userland漏洞的名称，用来越狱搭载iOS 5.0和5.0.1的iPhone 4S。苹果发布iOS 5.1后，这个Corona漏洞也不见了。但越狱社区并没有因此一蹶不振，而是又开发出了另一款越狱工具“absinthe”，成功越狱了iOS 5.1和5.1.1。在苹果发布iOS 6时，再一次修复了这个漏洞。

戴维·王说：“iOS 6在安全方面有了显著提升。iOS 6.1的安全性甚至优于前一个版本。初始注入(initial injection)是我们在越狱iPhone5时遇到的最大难题之一。”

乘隙而入

现在，iPhone 4则不会受到所有这些iOS系统更新的影响，因为Limera1n利用的是一个尚未被修复的bootrom漏洞，不管设备运行哪个版本的iOS，都不影响越狱。当然，人们或许会提出这样的疑问：既然bootrom漏洞的作用如此之大，黑客为何不继续寻找来越狱iPhone 5呢？

这个问题的答案并不是如此简单。弗里曼说：“寻找bootrom漏洞更加困难，仅仅是因为相关软件太少了，我们将这种手段称为是‘攻击地面’”。他将这种漏洞比作是一支身披盔甲的军队，可能某个位置存在缺陷，让敌人可以乘隙而入，而规模更小的队伍却更有可能做到全面防御。bootrom所做的唯一一件事情就是验证其他软件，它通过USB与系统进行沟通，本身代码并不多。

大多数bootrom漏洞都存在于USB设置代码中，而此类漏洞大多已经修复。不过，在iPhone 5中，苹果采用了Lightning接口，因此黑客又有了机会，可以在新的bootrom中发现bug。当然，前提是他们能找到查看bootrom的方法，但他们目前对此还无能无力。

迄今为止，越狱者的工作主要围绕寻找非bootrom漏洞展开，而这一任务近来越来越艰巨。iPhone 4和iPod 4现在均未实现完美越狱，同时也没有越狱iPhone 4S或iPhone 5所采用的iOS 6的有效方法。

越狱者像魔术师

通常情况下，我们很难走进越狱社区这个略显神秘的群体。当越狱者和其他黑客在Twitter上炫耀他们的成果时，偶尔只是公开所谓的userland漏洞。或许，他们是在展示运行于其设备上的Cydia——弗里曼为整个越狱社区打造的“应用商店”。

弗里曼澄清说，这些成果往往只是部分越狱——即便安装了Cydia，我们渴望拥有的应用未必能使用。有时，越狱者使用的是苹果自己的开发者工具，让该公司付费开发者可以在iPhone上安装他们自己的代码。换句话说，看到一款设备运行Cydia，并不代表针对用户的越狱准备就绪。

有时，这些成果只是暗示了越狱工作的最新进展。弗里曼说：“有点像是跟魔术师打交