탈옥 방식 정리
2025년 10월 27일
ref #
- https://bbs.kanxue.com/thread-248105.htm
- https://alfiecg.uk/2023/07/21/A-comprehensive-write-up-of-the-checkm8-BootROM-exploit.html
- https://theapplewiki.com/wiki/Rootless
rootful vs rootless #
rootful : 시스템 파티션에 직접 루트가 설치되어 샌드박스 규칙이 탈옥 이후에도 의도대로 동작할 수 있도록 하여 안정적인 기능 사용이 가능하다.
rootless : iOS 15부터 적용된 SSV(signed system volume) 때문에 시스템 rootful이 사실상 막혔고, 모든 탈옥 패키지를 /var/jb로 이동시킴
fakefs: 완전한 의미의 rootful(실제 / 를 R/W로 리마운트해 시스템 파일을 직접 바꾸는 방식)은 iOS 15의 SSV 때문에 사실상 막혔습니다. 하지만 A11 이하(checkm8) 기기에선 부팅 체인을 패치해 **fakefs(루트 볼륨 복제본)**로 부팅하는 꼼수로 “rootful에 가까운 환경”을 만들 수 있어요. A12+ 최신 기기에선 현실적으로 rootless가 표준입니다. SSV가 뭐 해서 막히나?
iOS 15부터 Sealed System Volume이 /(시스템 볼륨)을 읽기 전용 + 스냅샷 해시 검증으로 봉인.
부팅 시 스냅샷 무결성이 맞아야 해서, 예전처럼 /usr, /bin, /Library에 올려 패치·트윅을 심는 클래식 rootful 리마운트가 불가.
그럼 정말 ‘불가능’이냐?
일반적으론 예(불가): 커널만 뚫어서는 SSV를 통과할 수 없고, 시스템 스냅샷을 깨뜨리면 부팅이 거부됨.
예외(우회): **checkm8(A11 이하)**은 부트롬 단계에서 iBoot/커널로 이어지는 부팅 체인을 패치할 수 있어,
시스템 볼륨을 복제해 만든 fakefs(가짜 루트)로 대신 부팅 → 그 공간은 R/W라 “rootful처럼” 보임.
단, tethered 성격(부팅 때 호스트/툴 의존), 용량·시간 부담이 크고, 순정 루트 자체를 건드리는 건 아님.
A12+ 최신 기기 상황
부트롬 영구 취약점이 없어 위 같은 부팅 단계 개조가 불가 → 사실상 rootful 실전 불가.
그래서 iOS 15+에선 rootless 모델(예: /var/jb 경로, trustcache/부분 서명 우회, per-process 인젝션)이 표준.
실무 결론
iOS 15+ = 루트리스가 정상 경로.
A11 이하 + checkm8이면 **fakefs 기반 ‘rootful 모드’**를 제공하는 툴(palera1n 등)이 존재.
그 외(A12+)는 사실상 rootful 불가로 보면 됨.
원하면, 네 기기/버전(Ax 칩, iOS 빌드) 기준으로 **가능한 모드(rootless vs fakefs-rootful)**와 사용 툴/제약(예: A11에서 패스코드·SEP 관련 제한)까지 바로 체크리스트로 정리해줄게.