一日一技｜免電腦續簽，讓你的 iOS 側載應用更無縫

編注：本文首發于 Lan Tian @ Blog，作者 @Lan Tian，少數派經授權轉載。

SideStore 是一款常用的 iOS 應用側載工具，可以繞過 App Store 安裝第三方應用。它的工作原理是用你的 Apple ID 獲取免費的蘋果開發者證書，給你要安裝的應用簽名，從而讓應用可以在 iOS 設備上正常運行。

然而，蘋果為了維護其對 iOS 生態系統的控制，阻止第三方應用商店使用開發者證書大規模地繞過限制，對開發者證書設置了 7 天的過期時間。用戶需要定期獲取新的開發者證書，重新給應用簽名，才能一直使用自己安裝的第三方應用。

傳統的側載工具，例如 AltStore，都依賴電腦上的 iTunes 等軟件進行重新簽名的操作。但 SideStore 與其它側載工具不同，它只有首次安裝時需要電腦輔助。安裝完成后，SideStore 可以自己模擬一臺安裝了 iTunes 的電腦，讓 iOS 系統通過虛擬網絡與其通信，從而實現無需電腦就能給應用重新簽名，甚至安裝新的第三方應用的效果。

SideStore 的虛擬網絡一般可以用下面兩種方式實現：

• WireGuard：SideStore 可以在本機上創建一個 WireGuard 服務器。用戶可以自行安裝 WireGuard 客戶端，并連接到這個服務器上，從而讓 iOS 系統可以通過網絡和模擬出的電腦通信。

• • 這種方法的缺點是，受到 iOS 系統限制，當 iPhone/iPad 通過移動網絡上網時，WireGuard 客戶端是連不上 SideStore 本地創建的 WireGuard 服務器的。因此，SideStore 只有在設備連接到 Wi-Fi 時才能正常工作。

  • 同時，由于 iOS 系統只支持同時連接一個 VPN，如果用戶需要使用別的 VPN 軟件，就只能手動切換 VPN，操作比較麻煩。

• StosVPN：是 SideStore 團隊開發的專用 VPN 客戶端，只能用于 SideStore。

• • 相比于 WireGuard，StosVPN 不會受到 iOS 的限制，可以在設備通過移動網絡上網時正常工作。但是我試用后發現，StosVPN 無法長時間保持在后臺運行，經常會自動斷開。如果有一段時間沒有使用 iOS 設備，同時 StosVPN 斷開了連接，SideStore 以及其它第三方應用沒能及時續期，就只能重新連接電腦，給這些應用簽名了。

  • 同時，由于 StosVPN 也是 VPN，它同樣受到 iOS 系統只支持同時連接一個 VPN 的限制。

于是我就想嘗試分析 SideStore/StosVPN 的工作原理，看看能不能把它們集成到我的家庭網絡或者 ZeroTier SDN 網絡里，讓 SideStore 無需額外的 VPN 配置就能正常刷新。

StosVPN 的工作原理

根據 StosVPN 的關鍵數據包處理邏輯，StosVPN 大致做了以下幾件事：

• 給 iOS 設備分配 IP10.7.0.0，讓 iOS 把10.7.0.0/24這個網段的數據包發送到 StosVPN。

• 定義了一個 IP10.7.0.1，StosVPN 將在這個 IP 上模擬裝了 iTunes 的電腦。

• 對于每個數據包：

• • 如果數據包是從10.7.0.0發給10.7.0.1的，就交換數據包的來源和目標 IP，從而把數據包發回給 iOS 設備。

這個邏輯看起來很簡單，實際上也一點都不復雜。實際上，SideStore 就是在 iOS 設備本地打開了一系列端口，模擬安裝了 iTunes 的電腦。假設 iOS 在嘗試連接模擬出的電腦時創建了這樣一條連接：

TCP

10.7.0.0:12345

10.7.0.1:54321

那么 WireGuard 或者 StosVPN 就會交換來源和目標 IP（但不交換端口號），將數據包改寫成以下的樣子并發回 iOS 設備：

TCP

10.7.0.1:12345

10.7.0.0:54321

從 iOS 設備看來，這是一條從10.7.0.1發來的新 TCP 連接，與上一條發往電腦的連接沒什么關系。由于 iOS 嘗試連接到的端口（此處以54321示例）應當是 iTunes 的端口，而 SideStore 又在本地模擬了 iTunes，所以 SideStore 此時也應在監聽54321端口，并收到了數據。

SideStore 模擬 iTunes 的邏輯處理完數據，并生成一個回復：

TCP

10.7.0.0:54321

10.7.0.1:12345

WireGuard 或者 StosVPN 又會交換來源和目標 IP：

TCP

10.7.0.1:54321

10.7.0.0:12345

這一個回復數據包就對上了最開始發往電腦的連接。iOS 因此認為自己收到了電腦上 iTunes 的回復，從而繼續更新開發者證書。

用 Nftables 模擬 StosVPN 的工作邏輯

了解了 StosVPN 的工作原理，我們只需要在自己的網絡里模仿它的工作邏輯就可以了。

如果你只有少量的 iOS 設備，并且給它們都分配了固定 IP，而且有一臺運行 OpenWrt 或其它 Linux 系統的路由器，你直接用以下 Nftables 規則就可以了：

table inet sidestore {

chain RAW_PREROUTING {

type filter hook prerouting priority raw; policy accept;

# Replace 192.168.0.xxx here with your iOS device's IP address

ip saddr 192.168.0.123 ip daddr 10.7.0.1 ip saddr set 10.7.0.1 ip daddr set 192.168.0.123 notrack;

ip saddr 192.168.0.234 ip daddr 10.7.0.1 ip saddr set 10.7.0.1 ip daddr set 192.168.0.234 notrack;

# Add more rules as needed

上述規則的用途是，如果收到了來自你的 iOS 設備（192.168.0.123或192.168.0.234）發往10.7.0.1（虛擬電腦）的數據包，就把數據包的源 IP 改成10.7.0.1（虛擬電腦），目標 IP 改成你的 iOS 設備（192.168.0.123或192.168.0.234），然后發送出去。此處的notrack是關閉連接跟蹤，防止 Linux 用這些數據包去匹配之前收到的數據包和連接跟蹤條目，導致規則不生效。

由于 Nftables 不支持將數據包的來源/目標 IP 等信息用作變量，無法用一組規則實現「交換來源和目標地址」的目的，所以我們需要給每臺 iOS 設備都添加一條規則。如果你的 iOS 設備比較少，可以給每個設備的 IP 都單獨寫一條規則。但如果你的設備很多，或者沒有固定 IP，你就需要給家庭網段內的每一個 IP 都寫一條規則，非常麻煩。同時，如果你的路由器不支持 Nftables 或類似的防火墻功能，無法用類似的方式改寫數據包，也無法實現這樣的功能。

SideStore VPN 工具

https://github.com/xddxdd/sidestore-vpn

如果你無法使用上面的方法，我也寫了一個實現上述邏輯的小工具：SideStore VPN 工具。它可以在 Linux 設備上創建一個 TUN 接口，監聽發往10.7.0.1的數據包，并用和 StosVPN 相同的邏輯處理這些數據包。

要在你的網絡內使用這個工具，你需要準備一臺運行 Linux 的設備（例如樹莓派或者虛擬機），將它連接到 iOS 設備所在的同一個內網中，并設置一個固定 IP。由于工具改寫后的數據包可以看作是從這個 Linux 設備向 iOS 設備的一條新連接，所以 iOS 設備和這個 Linux 設備之間不能有防火墻或者 NAT，否則這條新連接會被攔截，導致 SideStore 的模擬電腦無法正常收到請求。

然后，執行以下操作：

• 在 Linux 設備上開啟 IP 轉發（IP Forwarding）：

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf

sudo sysctl -p

• 在設備上安裝 Rust 和 Cargo。

• 運行以下命令，安裝并啟動 SideStore VPN 工具：

git clone https://github.com/xddxdd/sidestore-vpn.git

cd sidestore-vpn

cargo build --release

sudo target/release/sidestore-vpn

SideStore VPN 工具會創建一個名為sidestore的 TUN 設備，并設置系統路由將發往10.7.0.1的流量全部交給工具處理。

• 在你的主路由器上添加一條靜態路由：

路由: 10.7.0.1/32 子網掩碼 (如果需要): 255.255.255.255 網關: 前文中 Linux 設備的 IP 地址。

為了最大限度地避免 IP 沖突，這條靜態路由只影響10.7.0.1一個 IP 地址。但如果你的路由器不支持創建 /32 路由，你可以調整子網掩碼，擴大這條路由規則的影響范圍，只要不與其他設備沖突即可：

路由: 10.7.0.0/24 子網掩碼 (如果需要): 255.255.255.0 網關: 前文中 Linux 設備的 IP 地址。

• 用內網中的任何一個設備 Ping10.7.0.1，此時應該可以 Ping 通。

現在在你的 iOS 設備上斷開 WireGuard 或者 StosVPN，然后用 SideStore 嘗試刷新應用。即使不開 VPN，SideStore 應該也可以正常刷新證書了。

https://sspai.com/post/103368?utm_source=wechat&utm_medium=social

作者：Lan Tian

責編：克萊德