Rootless越狱：传统iOS检测为何彻底失效？

Rootless越狱：传统iOS检测为何彻底失效？

随着移动互联网的快速发展，企业业务逐渐向多平台扩展，这也使得业务场景面临更复杂的外挂工具威胁。在iOS系统中，虽然其封闭生态和严格的安全设计提供了较高的安全性，但黑灰产仍然通过各种手段绕过系统安全机制。本文将探讨一种新型的iOS越狱技术——Rootless越狱，并分析其对传统越狱检测的影响。

一、前言

为了让企业的产品或服务赚取更多利润，很多企业的业务都会从单平台逐渐适配到多平台访问，直到边际成本高于业务收益。但这样做以后，也会将业务场景暴露在更复杂的外挂工具威胁之下。如果任意一端出现风险，在这种全平台商业策略下，很可能波及其他端，造成严重的业务损失。

图片传统越狱的标志性工具 Cydia（图片来源于网络）

相比开源的安卓系统，iOS有着封闭生态和更严格的安全设计，其硬件、软件及服务均采用高标准的安全机制，且所有iOS应用在上架App Store前需通过Apple的严格审核流程。

在iOS设备上，作弊者们还是需要通过绕过签名认证和系统权限安全机制的方式来实施攻击。尤其是在企业证书获取难度不断增加的情况下，他们更多依赖越狱环境制作各类作弊工具，以谋取非法利益。（越狱是一种绕过iOS系统安全限制的手段，常被黑灰产团伙用来获取操作系统高级权限，安装未经签名认证的作弊工具。这些工具为养号、刷积分、薅羊毛、GPS篡改等行为提供了便利条件。）

二、传统越狱

传统越狱方法通过利用系统漏洞（如内核漏洞）获取设备的最高权限（root），并修改系统根目录（/）的文件结构，例如重新挂载系统分区（如/var）或安装第三方应用商店（如Cydia）。这种方式会留下诸如破坏文件系统镜像、禁用签名检查等明显的作弊痕迹，这些痕迹容易被检测方案发现。比如，从某宝购物APP设备风控SDK-mtop提取的检测特征：

三、Rootless越狱与传统越狱的对比

随着传统越狱方式的弊端日益显现，黑灰产开始探索和应用新的越狱手段到黑灰产活动中，其中就包括「Rootless无根越狱」。

Rootless越狱基于“无根”（rootless）设计，不修改系统根目录，仅通过沙盒逃逸或用户级权限漏洞（如CoreTrust漏洞）实现功能扩展。例如，通过TrollStore绕过签名限制安装未授权应用，无需完全破解系统。并不赋予用户对文件系统根目录的直接访问权限，同时也不会改变系统分区的内容。

因此，保留系统分区的完整性，越狱环境可随时删除，恢复原系统；作弊痕迹更少，隐蔽性更强。这些特点使得Rootless越狱在当下的黑灰产领域得到了广泛的应用。

传统越狱与Rootless越狱的对比，其核心差异在于权限层级与系统侵入性。目前支持Rootless越狱的工具不少，如unc0ver、rootlessJB以及Dopamine等。

四、Dopamine越狱+TrollStore的作弊组合

通过支持Rootless越狱的Dopamine进行无根越狱后，可以通过利用iOS CoreTrust漏洞的TrollStore（巨魔商店）绕过签名限制，安装未授权应用，无需完全破解iOS系统。巨魔商店的安装较为简便，越狱后的iOS设备，支持丰富的作弊工具，并且更新迭代极为频繁。安装后需要注意以下几点：

• 关闭开发者模式；
• 关闭“查找我的iPhone”的选项，完成刷机；
• 安装好TrollStore后需要保持网络通畅，下载ldid；
  类别丰富
  较为受黑灰产欢迎的是会员破解、去广告、破解包、多开养号等
  下面是传统越狱检测的一些常见方案举例，主要思路均为围绕几个典型的文件系统的特征进行识别：但在Rootless越狱环境中，这些检测手段统统都失效（本文中以Dopamine越狱工具为例）

五、极验设备验与设备风险对抗方案

针对Rootless越狱，极验推出的设备验GeeGuard产品，采用文件系统以外的检测手段对该类型的越狱工具进行检测（以Dopamine越狱工具为例，见下图）。通过多种方案去识别越狱以及相关作弊工具，为业务安全保驾护航。

使用设备验GeeGuard产品，除了支持包括iOS Rootless越狱检测、Android Root、自定义ROM、云手机、不安全运行环境、调试检测、多种类型的篡改检测、虚拟定位、签名校验、摄像头劫持、屏幕共享检测等识别能力之外，GeeGuard支持在线更新检测特征减少SDK发版频次，让客户可以灵活的根据业务发版。此外，极验提供更灵活的规则决策引擎解决方案，让客户可以贴合自己的业务进行定制化的风控规则，应对多样化、迭代频繁的黑灰产工具和手段。

在下面的示例中，通过编排黑白名单、风险感知策略、阈值通知等策略规则，帮助您在具体业务场景对风险进行感知：极验规则决策引擎规则编排界面

极验规则决策引擎解决方案，可以将GeeGuard风险识别能力、设备指纹能力与业务自身的行为数据、账号数据进行更为紧密的关联，可定制化的生成贴合业务的风控关联规则，为您更复杂的业务场景保驾护航。