обход rsa на motomagx телефонах, проверено и работает на V8, E8, Z6, U9 Поделиться Опции

[yakk]

Итак, мне наконец-то удалось обнаружить дыру в загрузчике motomagx телефонов, которая позволяет запустить телефон с неподписанной AP-прошивкой

Внимание: если вы собираетесь делать то что здесь описано со своим телефонам - вы делаете это на свой страх и риск.. я не отвечаю за убитые вами телефоны..

Немного теории
Дыра обнаружилась в irom-загрузчике BP. При включении телефона бут (mbm AP-части) первым делом загружает в оперативную память bp-loader и передаёт BP команду выполнения bp-loader. irom-загрузчик BP проверяет подпись bp-loader и, если с ней всё в порядке - передает исполнение bp-loader'у. Важный момент - непосредственно перед проверкой подписи irom загрузчик BP проверяет наличие в заголовке bp-loader указателя на некоторую структуру и если этот указатель есть - разбирает эту структуру.. Эта структура, помимо заголовка, содержит набор адресов и значений; irom-загрузчик записывает в каждый из адресов (если адреса по его мнению корректные) соответствующее значение.. Таким образом есть возможность заполнить эту структуру самостоятельно и переложить на BP работу по "отпатчиванию" бута AP (бут AP в данный момент загружен в оперативку, его подпись уже проверена ранее и он ожидает ответ BP, что bp-loader прошел проверку подписи).. При этом саму структуру можно расположить за подписью и в ней же описать патч приводящий заголовок bp-loader к исходному состоянию, чтобы он нормально прошел проверку подписи..
Необходимые дополнения в bp-loader:
Размещаем за подписью bp-loader структуру следующего формата:
первые четыре байта от начала структуры - 0xB17219E9 - константа, по которой проверяется корректность структуры.
следующие четыре байта - размер структуры (должен быть кратен восьми, но не больше 256).
Дальше следует список адресов и значений (четыре байта на адрес и четыре - на значение).
В заголовке bp-loader необходимо поставить указатель на эту структуру, (четыре байта по адресу +0x14 от начала bp-loader) и указатель на этот указатель (по адресу +0x0c от начала bp-loader).. Соответственно чтобы bp-loader прошел проверку подписи - нужно будет вернуть заголовок к изначальному виду (обычно в данных полях нули) и поэтому первыми патчами описанными в структуре - делается именно запись нулей в данные поля.. Дальше следуют патчи которые нужно применить к ап-буту..
После ряда экспериментов я получил минимальный набор патчей бута которые приводят к тому что телефон соглашается работать с неподписанной прошивкой для бутов 06.a3 (e8) и a3.cf (v8) - телефоны которые "дожили" до победы..
Патчи зависят от версии бута, при установке неправильных патчей, или правильных, но не соответствущих версии бута - получаете труп. У меня уже лежит убитый z6 - на нём пробовались ранние версии патчей, в которых я не учёл некоторых проверок в буте, у dimichxp - убитый е8. Получится ли восстановить эти телефоны - большой вопрос..
Ну, основные вещи вроде все написал, прилагаю полученные буты, которые нужно просто прошить в телефон, если версия бута Вашего телефона совпадает с одной из указанных.. Хотя даже если совпадает - подумайте лишний раз насколько Вам всё это нужно ))

если кто возьмется портировать это на другие версии бутов/телефоны - имейте в виду что нужно быть предельно внимательным и перепроверять всё что делаете, попытка скорее всего будет только одна!!!

a3.cc (z6) - проверил на своём восстановленном z6 - всё работает, только ругается на security-версии кодовых груп, если их затирать. т.е. можно просто их сохранять.. хотя я поправил в cdt требование не проверять rootfs и лэнг - лэнг пересобранный и ничем не дополненный, rootfs - не пересобирал, просто стер подпись и security-версию.. если не править cdt - валится с ошибками на проверке версий, после исправления cdt - нормально работает..

ps: патч для бута 06.2b (zn5) - пока находится в стадии тестирования, не гарантируется, что его применение приведет к обходу RSA, но будучи прошитим на телефон с соответствующей версией бута - трупов быть не должно.. (чуть инфы для интересующихся - на новых версиях патчей не делается подмены инженерности, т.е. патчатся только собственно функции проверки подписей)..
06.2b (zn5).

pps: добавил патч для бута 06.a9 (e8) - пока для тестирования, хотя в принципе я его проверил - телефон после установки патча работал с неподписанными группами. опять же следим за версиями кодовых групп и не зашиваем всё без разбору..

добавил патч для бута 06.2a (u9) - спасибо за тестирование andrey_moto.

Сообщение отредактировал yakk - 16.1.2009, 3:57

[zolookas]

***Это перевод информации на английский язык.

If anyone is interested i have tried to translate first post by hand. Feel free to point any translation errors if i have made any.

I have found a security hole in motomagx phones loaders which allows to run unsigned AP-firmwares.

Warning: if you are going to do this, you take your own responsobility for any damages that may occur to your phone.

A bit theory
Hole exists in irom-loader BP. When you trun the phone on, boot (mbm AP-part) loads bp-loader into ram and sends BP command to execute bp-loader. irom-loader BP checks bp-loader's signature and if everything is ok, executes bp-loader. The important thing is that just before checking irom's signature, BP checks the header which has pointer to a special structure, if that pointer exists, it parses that structure. That structure has a header and contains a set of addresses and values; irom-loader writes in each of the addresses (if addresses are correct) appropriate value. That makes it possible for us to complete the structure and make BP work with patched AP boot (AP boot's signature was checked earlier, it is now loaded into memory and waiting a message from BP boot that it has completed signature check). The structure can be placed right after the signature and make this structure describe a patch that will change the BP-loader header into the initial state so that it can pass signature check.

Necessary additions to bp-loader:
After bp-loader signature place a structure like this:
first four bytes from structure's start - 0xB17219E9 - any other value would make signature check fail.
next four bytes - size of structure (must be a multiple of 8, but not more than 256)
Next comes a list of addresses and values (four bytes for address and four bytes for value).
You must make a pointer in bp-loader's header to that structure (for bytes to offset +0x14 from bp-loader's start) and pointer to that pointer (to offset +0x0c from bp-loader's start). Then to allow bp-loader to successfully complete signature check we need to return header to a previous state (usually there are zeros) and the first thing we need to do then is to fill that part of memory with zeros. Then patch AP-boot.
After making a lot of tests i have succeeded to build a minimal set of patches to make phones with 06.a3 boot (e8) and a3.cf boot (v8) work without signed firmware.
Different boot loader versions require different patches, if you will use incorrect patch, you will kill your phone. I have a dead z6 which has earlier version of patch which didn't work, because then i did not notice a few checks in boot, dimichxp has bricked е8. Nobody knows if those phones will be recovered. So check if your boot loader version matches when you will try patch and seriously consider your decision

If you want to port this to other boot loaders, check your code, because you will have only one chance!!!

Patched files are attached to the first post.

There is one sentence which I was unable to translate (i understand the words, but not the whole sentence), this one:

При этом саму структуру можно расположить за подписью и в ней же описать патч приводящий заголовок bp-loader к исходному состоянию, чтобы он нормально прошел проверку подписи..

EDIT: Thanks for people who helped! Translation is now complete.

Сообщение отредактировал zolookas - 29.12.2008, 21:10