motofan logo
10 страниц V < 1 2 3 4 > » 
Причина закрытия (Semenigor 15-03-2009):
       
> 

обход rsa на motomagx телефонах, проверено и работает на V8, E8, Z6, U9

yakk
сообщение 28.12.2008, 13:10 Закрепленное сообщение!



*****

Группа: Разработчики
Сообщений: 336
Регистрация: 6.7.2006
Из: Днепропетровск
Пользователь №: 90 408

Рейтинг: 904



Итак, мне наконец-то удалось обнаружить дыру в загрузчике motomagx телефонов, которая позволяет запустить телефон с неподписанной AP-прошивкой

Внимание: если вы собираетесь делать то что здесь описано со своим телефонам - вы делаете это на свой страх и риск.. я не отвечаю за убитые вами телефоны..

Немного теории wink.gif
Дыра обнаружилась в irom-загрузчике BP. При включении телефона бут (mbm AP-части) первым делом загружает в оперативную память bp-loader и передаёт BP команду выполнения bp-loader. irom-загрузчик BP проверяет подпись bp-loader и, если с ней всё в порядке - передает исполнение bp-loader'у. Важный момент - непосредственно перед проверкой подписи irom загрузчик BP проверяет наличие в заголовке bp-loader указателя на некоторую структуру и если этот указатель есть - разбирает эту структуру.. Эта структура, помимо заголовка, содержит набор адресов и значений; irom-загрузчик записывает в каждый из адресов (если адреса по его мнению корректные) соответствующее значение.. Таким образом есть возможность заполнить эту структуру самостоятельно и переложить на BP работу по "отпатчиванию" бута AP (бут AP в данный момент загружен в оперативку, его подпись уже проверена ранее и он ожидает ответ BP, что bp-loader прошел проверку подписи).. При этом саму структуру можно расположить за подписью и в ней же описать патч приводящий заголовок bp-loader к исходному состоянию, чтобы он нормально прошел проверку подписи..
Необходимые дополнения в bp-loader:
Размещаем за подписью bp-loader структуру следующего формата:
первые четыре байта от начала структуры - 0xB17219E9 - константа, по которой проверяется корректность структуры.
следующие четыре байта - размер структуры (должен быть кратен восьми, но не больше 256).
Дальше следует список адресов и значений (четыре байта на адрес и четыре - на значение).
В заголовке bp-loader необходимо поставить указатель на эту структуру, (четыре байта по адресу +0x14 от начала bp-loader) и указатель на этот указатель smile.gif (по адресу +0x0c от начала bp-loader).. Соответственно чтобы bp-loader прошел проверку подписи - нужно будет вернуть заголовок к изначальному виду (обычно в данных полях нули) и поэтому первыми патчами описанными в структуре - делается именно запись нулей в данные поля.. Дальше следуют патчи которые нужно применить к ап-буту..
После ряда экспериментов я получил минимальный набор патчей бута которые приводят к тому что телефон соглашается работать с неподписанной прошивкой для бутов 06.a3 (e8) и a3.cf (v8) - телефоны которые "дожили" до победы..
Патчи зависят от версии бута, при установке неправильных патчей, или правильных, но не соответствущих версии бута - получаете труп. У меня уже лежит убитый z6 - на нём пробовались ранние версии патчей, в которых я не учёл некоторых проверок в буте, у dimichxp - убитый е8. Получится ли восстановить эти телефоны - большой вопрос..
Ну, основные вещи вроде все написал, прилагаю полученные буты, которые нужно просто прошить в телефон, если версия бута Вашего телефона совпадает с одной из указанных.. Хотя даже если совпадает - подумайте лишний раз насколько Вам всё это нужно ))

если кто возьмется портировать это на другие версии бутов/телефоны - имейте в виду что нужно быть предельно внимательным и перепроверять всё что делаете, попытка скорее всего будет только одна!!!

a3.cc (z6) - проверил на своём восстановленном z6 - всё работает, только ругается на security-версии кодовых груп, если их затирать. т.е. можно просто их сохранять.. хотя я поправил в cdt требование не проверять rootfs и лэнг - лэнг пересобранный и ничем не дополненный, rootfs - не пересобирал, просто стер подпись и security-версию.. если не править cdt - валится с ошибками на проверке версий, после исправления cdt - нормально работает..

ps: патч для бута 06.2b (zn5) - пока находится в стадии тестирования, не гарантируется, что его применение приведет к обходу RSA, но будучи прошитим на телефон с соответствующей версией бута - трупов быть не должно.. (чуть инфы для интересующихся - на новых версиях патчей не делается подмены инженерности, т.е. патчатся только собственно функции проверки подписей)..
06.2b (zn5).

pps: добавил патч для бута 06.a9 (e8) - пока для тестирования, хотя в принципе я его проверил - телефон после установки патча работал с неподписанными группами. опять же следим за версиями кодовых групп и не зашиваем всё без разбору..

добавил патч для бута 06.2a (u9) - спасибо за тестирование andrey_moto.

Сообщение отредактировал yakk - 16.1.2009, 3:57
Прикрепленный файл e8___06a9.rar   ( 153.45 килобайт ) Кол-во скачиваний: 1371
Прикрепленный файл u9_062a.rar   ( 141.39 килобайт ) Кол-во скачиваний: 1221
Прикрепленный файл v8_a3cf.rar   ( 96.34 килобайт ) Кол-во скачиваний: 8083
Прикрепленный файл e8_06a3.rar   ( 153.6 килобайт ) Кол-во скачиваний: 1481
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
telnet
сообщение 28.12.2008, 16:41


Новичок
*

Группа: Пользователи
Сообщений: 8
Регистрация: 28.12.2008
Пользователь №: 189 751
Модель телефона: c650, V3, L7e

Рейтинг: 0



Гениально! Жаль у меня на МОТОМЕДЖИКе нет телефона.
Вдвойне приятно-что наши сделали-а не китайцы какие ...


Цитата
так портируй патч на з6 )

а инструкцию можно как портировать?
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
jmoncayo
сообщение 28.12.2008, 16:56


Новичок
*

Группа: Пользователи
Сообщений: 9
Регистрация: 25.12.2008
Пользователь №: 189 559
Модель телефона: rokr z6
Прошивка: 4ER

Рейтинг: 0



would anyone please translate this to englsih? translate.google just sucks.
thanks
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
MOTOROKR
сообщение 28.12.2008, 17:05


Гуру
******

Группа: Разработчики
Сообщений: 933
Регистрация: 11.9.2005
Из: RU-MOW (ISO-3166-2)
Пользователь №: 51 143
Модель телефона: VA76r (Tundra)
Прошивка: Various

Рейтинг: 476



jmoncayo, they made BP to patch AP boot on phone's startup using some weakness in pointer structure which BP parses before AP signature is checked. So any signature is now determined by phone as valid and RSA is hacked. Two patched boots (for E8 and V8) are now available, please be careful and don't flash them to incompatible phone model or boot version otherwise your phone won't work anymore.
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
are_ed
сообщение 28.12.2008, 17:27


Опытный
***

Группа: Пользователи
Сообщений: 133
Регистрация: 24.2.2008
Пользователь №: 164 538
Модель телефона: e398

Рейтинг: 12.5



that means we can flash any firmware without problem or else...or phone will not lock

Сообщение отредактировал are_ed - 28.12.2008, 17:28
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
DmT
сообщение 28.12.2008, 18:36


Мото-Портной
******

Группа: Разработчики
Сообщений: 1 174
Регистрация: 31.3.2007
Из: Екатеринбург
Пользователь №: 129 181
Модель телефона: LG GW620, L7e и др.
Победитель конкурса 2008


Настроение:
Второй год подряд решаю мир. Решения не найдено.



Рейтинг: 669



Можно я тут встряну в разговор.
Цитата(hobbit19 @ Сегодня, 20:17)

так портируй патч на з6 )
*


А ещё лучше, чтоб два и более человека, абсолютно независимо друг от друга, с одинаковыми исходными данными, проделали эту работу.
Если результаты сошлись до байта, значит можно шить с большой вероятностью на успех.
Это займет больше времени, но зато погибнет меньшее количество телефонов.
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
GandjaFuzz
сообщение 28.12.2008, 19:14


Motofuzzer
*****

Группа: Почётные мотофаны
Сообщений: 619
Регистрация: 12.12.2004
Пользователь №: 26 583
Модель телефона: ZN5 T-Mobile
Прошивка: 2CR_128
Победитель конкурса 2008

Рейтинг: 1080



ребята, мои поздравления! smile.gif молодцы )
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Джуманджи
сообщение 28.12.2008, 19:22


Гуру
******

Группа: Почётные мотофаны
Сообщений: 856
Регистрация: 8.11.2006
Из: детства
Пользователь №: 106 183
Модель телефона: нокиа

Рейтинг: 647.5



Молодцы парни! (= Уже и рейтинг повышать нельзя сегодня.. Объясните мне, как заядлому "п2кашнику" что дает
Цитата(yakk @ Сегодня, 16:10)

неподписанная AP-прошивка
*

? shuffle.gif
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
MIG~
сообщение 28.12.2008, 21:32


Мастер
****

Группа: Пользователи
Сообщений: 169
Регистрация: 10.4.2007
Пользователь №: 130 619
Модель телефона: V3I,E770,SE K800i
Победитель конкурса 2008

Рейтинг: 245



Цитата(Джуманджи @ 28.12.2008, 22:22) *

Уже и рейтинг повышать нельзя сегодня..
Добавь разработки на платформе POG дуалбут , самые сложные части ельфов , снятие ограничения с MP3 битрейт , порты нескольких самых сложных патчей и что у нас yakk получит ? Лучший разработчик
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
hobbit19
сообщение 28.12.2008, 23:13


квант истории
******

Группа: Пользователи
Сообщений: 1 043
Регистрация: 1.4.2005
Из: Рязань
Пользователь №: 39 980
Модель телефона: (M)oTorola
Прошивка: testing/unstable
Победитель конкурса 2008

Рейтинг: 739.5



Цитата
что у нас yakk получит ?

тогд уж Открытие года - человек-который за этот год достиг наилучших результатов
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Abram
сообщение 29.12.2008, 0:45


Прелесть какая гадость
*******

Группа: Разработчики
Сообщений: 1 963
Регистрация: 24.6.2005
Из: .ru - рідна Україна
Пользователь №: 44 825
Модель телефона: Moto G XT1033
Прошивка: CyanogenMod
Победитель конкурса 2008

Рейтинг: 744



Z6, A3.CC. Труп.
yakk, симптомы те же, что у тебя с первой попыткой. Сейчас будет ТП, а там посмотрим.
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
обход rsa на motomagx телефонах, проверено и работает на V8, E8, Z6, U9 · Ломаем и строим! · Forum
 

10 страниц V < 1 2 3 4 > » 
Причина закрытия (Semenigor 15-03-2009):
Закрытая темаСоздание новой темы
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: 28.3.2024, 22:25

Форум живёт: