【iPhone3GS_JB】3GS/OS 3.1のJailbreak動向【まとめ】


3GS/OS 3.1のjailbreak、登場人物とツールなどの種類が増えすぎて、自分でもワケがわからなくなってきた。
そこで、一念発起して関連の記事と、関係者のtweetを読み漁ってまとめてみた。
Twitterは楽しいし、開発者本人の最新状況がいち早くわかっていいのだが、一方情報は発散しまくりというのは問題だな。

QUEMAS、nishizawa 両氏には、Twitterで色々貴重な情報を教えていただいた。感謝感謝。

このエントリは、3GS Jailbreakの状況が落ち着くまで、随時更新予定。興味ある方はブックマーク推奨。
内容に間違いや、追記すべき情報があったら、どんどんコメントか、@Woggieeee あて知らせのほど。
青字 (リンクなど一部太字) は、初版からの更新部分。緑字は、最終更新部分。

iPhone Dev Team

web: DEV-TEAM BLOG Twitter: iPhone_DevMuscleNerd

3GS、iPod Touch 3rd genは未対応。Pwnage Tool 3.1でのJBでは、ベースバンドは維持され、Ultrasn0wが使える模様。
OS 3.1対応Redsn0w、3GSへの対応は、準備が出来次第リリース予定と公表。公表するぐらいだから、3GS/3.1 JBの手法は完成していると思われるが、公式には情報を一切出していない。

Dev-Teamは、当初から3.0 iBSS/IBECを取得するよう、警告していたが、Dev-Teamの3GS/3.1 JBツールで、今後これらを使うのかどうかも、確実なところはわからない。

Dev Teamのツールは、当然ながら利用ユーザが多いので、リリース方針は基本的にコンサバ。3.0/GS対応時には慎重の度が過ぎて、しびれを切らしたGeoHotが、先走ってPurplesn0wをリリースした。今回は3GS・iPod Touch 3rd genに関してはじっくり構えてやると予想。おそらく、9/25ごろ(3.1.1が出るという噂がある)まで、リリースしないのでは。

10/1、Dev Teamの現行メンバー、CPICHTwitterでjailbreak成功をコメント

3gs 3.0 pwned->3.1 pwned. Props to Musclenerd, Wizdaz and thanks Bumble-Bee & ToddJG for testing.

さらに続けてtweet

Further to my last post, the 3gs 3.1 jailbreak does not apply to OTB or non-downgradable 3.1 device

この2つのコメントから、CPICHが言うjailbreak手法では、実行時に3.0環境が必要になる可能性がある。しかし、ここで疑問がいくつか。CPICHは確かにDev Team BlogやWikiで、Dev Teamメンバーとして名を連ねている。しかし、彼が紹介しているjailbreak手法が、redsn0wなのか、pwnageなのか、また別のものかはまだ公表されていない。さらに、これまでDev Teamのjailbreakツールのリードをしてきた、Musclenerdや、Dev Teamの公式アカウント、Blogなどでは一切CPICHのこの発言に関してエンドースしていない。
CPICHの独自の活動なのか、どこからいつリリースされるか、今後が注目される。

10/2 1:00追記 Musclenerdがtweetで、Dev Team 3.1 Jailbreakに関する情報をtweetし始めた。3GS/3.0 Redsn0w Jailbreakの環境から、pwnagetoolを使用して3.1 JBにアップグレードを行う方法になる模様。SIMアンロック/ベースバンドは確保されるようだ。上記のCPICHの情報と、ほぼ同期しているため、CPICHがjailbreak部分を担当し、Musclenerdがパッケージにした、というプロセスのような気がするが、両者が共同で作業をしたのか、まだ正確なところはわからない。あと、知らない外国人から、10/2中にDev Teamのツールがリリースされる噂が広がっている、という情報をtwitterでもらった。情報をくれた方のblogに、Dev-Teamのjailbreakによるもの、とされる3GS/3.1JB デモビデオが上がっている。

10/3 追記: 3GS/3.1JBに対応した、Pwnage Tool 3.1.3がリリースされた10/9追記:10/9にリリースされた公式3.1.2については、対応版を出すつもりがあるとのコメント。

10/13 17:00 追記: 3GS/3.1.2JBに対応したPwnage Tool 3.1.4がリリース

 

Chronic Dev Team

web: greenpois0n.com Chronic Dev Blog Twitter: chronicdevteam

  • OS 3.1/3GS、Touch 3rd gen対応のJBツール、greenpois0nをリリース予定

3GSと同様の暗号化スキームを持つiPod Touch 3rd genを、いち早くクラッシュさせ(exploit発見)、ビデオを公開。Twitterで、3.1/3GSのexploitを発見済みとコメント9/18の時点では、まだ実行中のiBootのダンプが取れないので、リリースできないと言っていた。同日、極小のペイロードを作成、Touch 3rd genのフレームバッファ上にロードに成功。実行画面をtweetしている

Chronic Dev Blog 9/19のエントリによると、Greenpois0の最終版の目標は、DFUでなく、リカバリーモードで動作。デバイスを接続すれば、Greenpois0nが自動的にリカバリーモードに設 定し、現行のファームウェアで実行中のiBoot / iBEC / iBSSの暗号化解除、LLB、iBoot、NORデバイスツリーにパッチを行い、再度書き戻す。この後、ファイルシステムからカーネルをロードし、暗号 化解除、パッチをを行い、非常に小さなRAMディスク上から起動し、ファイルシステムレベルでjailbreakに必要なプロセスを実行する。
Greenpois0nの最初のリリースでは、Touch 3rd genと、もしかすると3GSもサポート、と言っている。greenpois0nでは、SIMアンロックについてはケアしない(使うとベースバンドを上げてしまうと思われる)ので、必要な人はDev-Team版を待てとの事。


今回色々資料を読むまで知らなかったのだが、Chronicは24kpwn (iPod Touch 2nd genの脆弱性ーredsn0w/purplera1nにも使われている) の解析・発見者の一人。お見それしてましたw

余談だが、The iPhone Wikiによると、24kpwnの功績者は、chronic, CPICH, ius, MuscleNerd, planetbeing, pod2g, posixninja 他、となっている。この中の数名は、3GS/3.1 JB関係者のtweetに良く登場するので、参考まで。

10/2、Chronic Dev Team Blogで、最新状況がアップデート。9/19のエントリにある仕様が、ほぼ最終仕様になる模様だ。カスタムファームウェアを作成せず、おそらく正式3.1 FWを導入してから、母艦からツールを使ってjailbreakをかける、redsn0w/purplera1n方式になると思われる。ということは、やはり当初の予告どおり、モデムベースバンドを更新してしまうので、アンロック目的の人には向かないツールということになる。ECIDの取得など、事前準備なしで、誰にでもボタンひとつの簡単さで、1分以内にjailbreakできる仕様にしたいとコメント。

注: Twitterでは、このエントリの紹介時に、”Blog post concerning our progress on the ipt3“と言っており、最初のリリースはiPod Touch 3rd genになる雰囲気だ。(追記10/9: その後のコメントによれば、3GSもサポートされる方向らしい)

10/9追記:その後戦線復帰したGeoHotが、新JailbreakツールBlackra1nに取り掛かって一日目、Chronicdevの暴挙により、GeoHotをキレさせる大騒ぎがあった。Chronicが先走ってusb_control_msg(0x21, 2) exploitを公開したことにより、ChronicdevとGeoHotのどちらもが、このexploitを利用していることが判明。10/9にリリースされた公式3.1.2に関しては、問題ないとのコメント。

10/20追記: Chronicはどうも24k pwnがないブートROMでも、untethered jailbreakを実現するexploitを発見したっぽい。もしそういうexploitが存在したらどうする?Tabletや、次世代のiPhoneまで取っておくべきか、それとも今すぐに使うべきか、という意見を求め、結果として、10/20現在Chronicは、新ブートROMの3GS、iPT3はtethered/semi-tetheredになる、greenpois0n lite versionとして出す方向で検討しているようだ。

11/2追記: Chronicdev blogで、greenpois0nの仕様について、初めて詳細が語られた。当初出すliteバージョンは、3GS新ブートROM、iPT 3rdのみをサポート。はじめて新ブートROMデバイスに対して、semi-tethered JBを可能にする予定。semi-tethered jailbreak=リブートの都度、母艦と接続してGreenp0isonの再実行をするとjailbreakモード、接続しないで起動すると、通常モードで起動。


Saurik

web: saurik.com Twitter: saurik

  • Cydiaに保管したOS 3.0 ECID SHSHと、iTunesからキャッシュサーバを経由し、3GS/3.1→3GS/3.0へのダウングレード手法を確立。→参考エントリ
    ちなみに、iTunes – Apple認証サーバ間は、なんと一切暗号化されていないらしい。
    OS 3.1リリース以降、Appleの認証サーバ(gs.apple.com)が3.0 ipswへの署名を行わなくなったため、3.0 ECID SHSHは取得できなくなってしまった。
    現在3GS/3.0x環境から、Cydia経由で3.1のECID SHSHをCydiaに登録できるようになっている。すでに3.0 ECID SHSH on fileになっている3GSは、3.1 ECID SHSHを取得するキューに入っていて、順番が来れば3.1も併せてfileされる。

誤解があるようだが、3.0 ECID SHSHは、もうCydiaからも、他のいかなる手段でも新規には取得できない。
Saurikにしろ、purplera1nにしろ、ECIDに署名する部分は、Appleのサーバで行っている。Appleサーバはすでに3.0へのダウングレードを受け付けない=3.0 ECID/iBEC/IBSS/purplera1nyday などは絶対に取得できない。3GS – iTunes – Apple認証サーバ間の署名・認証のプロセスには、業界標準の公開鍵暗号方式が利用されている。そのため、スーパーコンピュータで長時間かけて解析でもしない限り、この部分はクラックできないからだ。

これが確実に意味することは、3.0でこれらの作業を行っていない3GSは、(Appleが認めない限り) 未来永劫3.0xへのダウングレードはできない。

逆に、3.0/3.1 ECID SHSHをCydiaで取得していれば、Cydiaにデータがある限り、未来永劫3.0/3.1へのダウングレード権が確保できたということだ。

3.1 ECID SHSHだけしかない3GSでは、3.1までしかダウングレードはできない。

一方、ECID署名済みiBootを手に入れなかったからと言って、絶対に3.1以降でjailbreakできない、とも限らない。JBできるかどうかは、あくまでjailbreak exploitと開発者の手法次第になるからだ。Dev-team、Saurikをはじめ多くのJB開発者が、取っておけとしつこく言っているのは、今後何が起こるかわからないので、できることをやっておけという意味と、個人的には理解している。

Cydiaを経由した手法では、jailbreakしたiPhoneからしかECID SHSHを取得できない。Saurikは、非jailbreak環境用に、pythonベースのツールも提供している。

Saurik氏、その後tweetで告白しているが、肺炎の治療で入院らしい。大丈夫かしら。10/5追記: 肺炎治ったらしいw 10/20追記 いや、まだ本調子ではないらしい。


GeoHot

web: ON THE IPHONE , blackra1n.com purplera1n.com Twitter: geohot

3.0.1のアップデートの最中にpurplera1nとpurplesn0wを放り出して以来、PS3のハックに夢中なので、geohot君は3.1以降のjailbreakでは、ほとんど表舞台に出てこない。

だが、仲良しのchronicdevのgreenpois0nリリースに向けて、3.1で無効にされたテザリングのパッチとかを提供しているらしい。

purplera1nydayと呼ばれる、独自フォーマットのSHSH blobを返してくれる、purplera1n.comは、まだ稼動中で、もし以前に取得作業を終えていた場合には、再度その3GSのECIDを入力すれば、ファイルを返してくれる。もしやっていなければ、Appleサーバが署名をしてくれないので、エラーになる。

10/6追記: GeoHotが颯爽とJB戦線復帰。iPhone & iPod Touch、全製品をJailbreakするツールを、2日でリリースすると宣言。10/9追記: 色々トラブルがあって、3日たった10/9現在、まだBlackra1nはリリースされていない。

追記: 10/11 Blackra1n RC1リリース!予定の3日遅れでリリースされた。いつものようにバギーだが、必要十分な機能。

追記: 10/19 iH8sn0wが発見した、5.1ベースバンドのクラッシュコマンド、AT+XEMNをハックしてみたが、exploitできないと公言。
追記: 10/26 修正版のblackra1n RC2をリリース! 新ブートROM 3GS、現行iPT 8Gのtethered JBを追加サポート。
追記: 11/1 現行ベースバンド5.11.07を世界で初めてアンロックする、blacksn0wのリリースを予告


iH8sn0w & Darkmalloc

web: A sn0wy Blog Home of iREB sn0wbreeze Twitter: ih8sn0w IRC: #ih8sn0w Cydia Repo: cydia.ttapple.net

当初は、iH8sn0wは何者だかよくわからなかった。なんか3GS買うお金ないから、募金受付中!とかしつこく言ってたし。
さらに、9/13ごろIRCに来た人に、「3.0のIBEC/IBSS取りそびれたやつ、メールでECID送ってくれたら、俺が3.1のやつ署名して送り返してやんよ」と言ってしまったのがきっかけで、希望メールの洪水に悲鳴をあげる事にw 行動力はあるが、計画性なさすぎw だが、ここしばらくで聞いた話と、今回調べた内容からすると、立派なJailbreak開発者だったようだ。(ごめんねw >iH8sn0w)

iH8sn0wはトルコ系jailbreak開発者のようだが、現在カナダ在住らしい。実績として、OS 3.1 beta1-3用のjailbreakをリリースしていた。(3GSは非対応) 見てないがwチュートリアル動画まであった。このOS 3.1 beta jailbreakには、”ttys”(private restore) という、他で聞かないexploitが使用されていた。

iH8sn0wは、9/14の時点で『俺は正式リリースのファームウェアはJBしない。それはDev-Teamの仕事として取っておく。あと、Touch 3rd genをJBするのに、3GSが絶対必要(オマイラ募金汁w) 』と言っていた。その後、募金は希望額集まったらしいので、今後の3GS JBでの成果に期待したい。

あと、iH8sn0wは、iTunesのカスタムipsw復元時のエラーに対処する、iREB (iTunes Restore Error Bypasser) もリリースしている。現在のバージョンは3.1-2 (Windows)/3.1 (OSX)で、3.1(7C144)/3.1.1(7C145)対応、GUI対応、Recovery Mode Loop Fixer (復元モード・ループ修復機能) というのを内蔵している。まだ3GS/ 3rd gen Touchには未対応だが、募金も集まったし、そのうち対応してくれると期待。(iREBのダウンはHome of iREBから)

9/26ごろに、Twitterで『明日、3GSユーザへのサプライズ発表!』とtweetし、3GSのJailbreakを切望する、全世界の3GSユーザを震撼させた。3GSのjailbreakだ、アンロックだ、とみんなでwktkした結果、出てきたものは『iREBに3.1 SHSHキャプチャ搭載』と、最低なモノだった。何万人もiH8sn0wに釣られたと思われる。

その後、iH8sn0wは、posixninjaに吹き込まれて、MuscleNerdは自分でexploit見つけてないとか、Dev Teamに妙な難癖をつけ始める。そのへんをネタに、TwitterでDarcMallocというやつに、『ていうか、iREBってMusclenerdのexploit使って書いたツールじゃね?わかってんのかよ?』とか、『iREBのコード最低だから使うな』とか、『寄付で3GS買っても、何もリリースできねーダロ』だの、色んな罵詈雑言を受け、交戦中。DarcMallocは、iREBに似たツール、Fr0zenw1ndをリリースしており、どっちが優れているか、不毛な戦いを挑んでいる。一方、DarcMallocはiH8sn0wが募金でちゃっかり3GSを手に入れたのが気に入らないらしい。しまいには、自分もiH8sn0wのまねして、募金を始めちゃった。こいつら2人まとめてポイだ。

10/5追記: Twitterとか、IRCで大喧嘩していた二人だが、その後なんだか知らないうちに和解。協力して、sn0wbreezeというツールを開発することを発表した。最近はTwitterで慣れ合いしていて、逆にうざいw

sn0wbreezeは、Windows版のPwnage Toolにあたるもので、Pwnage Tool 3.1.3と、ほぼ同様のデバイスの3.1 Jaibreakをサポートする。3GSでは、同様に3.0JB環境が必要だが、iPod Touch 2nd genは、3.1→3.1JBをサポートする模様。10/13のリリースを予定しているとのこと。まーこの2人のやることなので、ちゃんとしたものが出るのか微妙。

iREB の3.1 ECID SHSHキャプチャ機能だが、なんとローカルにキャプチャするだけらしく、Saurikに『それをあとで皆が俺にメールで送りつけてくるんじゃねぇだろう な?』と言われ、Saurikが面倒をみて、キャッシュサーバ対応に書き換え中。前途ある少年ハッカーには理不尽に優しいのねw

10/9追記:その後、sn0wbreezeは10/12のリリース予定とコメント、だが作業は予定よりも遅れ気味の模様。仕様とFAQは http://sn0wbreeze.ih8sn0w.com/ を参照。また、iPod Touch 2nd gen用の3.1→3.0ダウングレードツールを発表。フォロワーに名前を公募、sn0wbl0werに決まる。リリースは10/9予定。iREBは3.1にアップデートされ、現在3.1/3.1.1(iPT)でも利用できるらしい。

追記: 10/18 ベースバンドのクラッシュに成功した、と以前言っていた件について、Saurikから本当なら出せ、出せなければお前はサギ野郎だと厳しく追及され、さすがに切れて、twitterで発見したAT-XEMNについて公言。Saurik、gehohot、p0sixninjaが、クラッシュはするが、exploitできないと結論。iH8sn0wがThe iPhone Wikiに顛末をまとめる。個人的には、この流れがあまりにスムーズだったので、関係者が何かを隠したような気がす。

追記: 10/20: sn0wbreezeのteaser videoを公開。ハロウィーンにリリースしたいとtweet。
追記: 11/1 その後、geohotとiH8sn0wが妙に仲良しになる。5.11.07のアンロックに関して、geohotとtwitterと議論。11/1、ついにgeohotが5.11.07のアンロック完成を報告。iH8sn0wの貢献度合は、今のところ不明。


semaphore

web: The Firmware Umbrella Twitter: notcom

  • CydiaのECID SHSHおよび、キャッシュサーバと同様な事をローカルで行う、Umbrella/ Tiny TSSをリリース。

この二つを利用することにより、Cydiaを利用しなくても、ECID blobを取得し、将来3GSで3.1へのダウングレードを行うことができるようになる。
つまり、Jailbreakしていない3GSであっても、ECID SHSHの取得と、ダウングレードを行う事ができるようになる。jailbreakしたくないが、ダウングレードの手段は残したい、将来はJBしてみたいという人などには有効な手段になる。

また、Cydiaサーバに既に3.0 ECID SHSH on fileになっていれば、Cydiaから3.0のECID SHSHを取得することもできる。OSX / Windows両対応のJavaプログラムと、Windowsネイティブの2つのバージョンがある。ダウンロードはThe Firmware Umbrellaから。

    semaphoreは、このwebぐらいしか見ていないので、本人のこれまでの経歴はまだ不明。

    10/6追記: 3.0 iBEC/iBSSを、Tiny TSSのフォーマットに変換するSHSH Toolが登場。これがあれば、Cydia ECID SHSH on-fileしそこなった3GSも、3.0へダウングレードできることになる。まだ人柱報告がないが、興味のあるかたはこちら