作者：耀刺 黑雪 @ 阿里安全潘多拉實验室

        每年iOS系统大版本升级对于安全研究人员都是一次新的挑战。在大版本中除了修补一些未经公开的漏洞外，苹果还会增加新的缓解机制大大提高了整个ios12越狱插件的难度。这不仅要求安全研究人员能够挖掘出可以独立提权的漏洞还要能够攻破签名绕过和根目录读寫这两道关卡。在iOS 12中业界公开的解决方案都已经被苹果封堵。

        在iOS中有非常严格的签名校验机制所有发布的App均需要通过苹果颁发的***進行签名之后才能上架。由于存在TeamID机制即第三方动态库与宿主进程使用同一个***签名，纵使通过漏洞利用完成提权后依然无法运行未签名的binary，也无法注入代码到其他进程因此需要绕过苹果的签名校验。在iOS11中业界有两种公开的解决方案：

图1-1 劫持amfid绕过签名简易流程图

cache嘚校验后，无需再进行CMS校验！苹果虽然尝试封堵这种绕过方式但依然存在漏洞，导致新增加的缓解机制被轻松绕过

update根目录为可读写。

        蘋果在iOS 12的APFS对这个漏洞也进行修补使得正在使用的snapshot无法被rename。尽管如此依然有新的思路和方法可以挂载根目录为可读写。

     苹果在iOS 12中修复了佷多未公开的漏洞增加了新的缓解机制，但在iOS 12正式版发布的数小时内潘多拉实验室完成了iOS 12的完美ios12越狱插件，如图3-1和3-2所示从技术的角喥来看，完美ios12越狱插件和非完美ios12越狱插件的主要区别在于重启过程中是否能自动执行ios12越狱插件代码在手机重启完成前完成ios12越狱插件。 

附：iOS 12完美ios12越狱插件视频演示