обход rsa на motomagx телефонах, проверено и работает на V8, E8, Z6, U9 Поделиться Опции

[yakk]

Итак, мне наконец-то удалось обнаружить дыру в загрузчике motomagx телефонов, которая позволяет запустить телефон с неподписанной AP-прошивкой

Внимание: если вы собираетесь делать то что здесь описано со своим телефонам - вы делаете это на свой страх и риск.. я не отвечаю за убитые вами телефоны..

Немного теории
Дыра обнаружилась в irom-загрузчике BP. При включении телефона бут (mbm AP-части) первым делом загружает в оперативную память bp-loader и передаёт BP команду выполнения bp-loader. irom-загрузчик BP проверяет подпись bp-loader и, если с ней всё в порядке - передает исполнение bp-loader'у. Важный момент - непосредственно перед проверкой подписи irom загрузчик BP проверяет наличие в заголовке bp-loader указателя на некоторую структуру и если этот указатель есть - разбирает эту структуру.. Эта структура, помимо заголовка, содержит набор адресов и значений; irom-загрузчик записывает в каждый из адресов (если адреса по его мнению корректные) соответствующее значение.. Таким образом есть возможность заполнить эту структуру самостоятельно и переложить на BP работу по "отпатчиванию" бута AP (бут AP в данный момент загружен в оперативку, его подпись уже проверена ранее и он ожидает ответ BP, что bp-loader прошел проверку подписи).. При этом саму структуру можно расположить за подписью и в ней же описать патч приводящий заголовок bp-loader к исходному состоянию, чтобы он нормально прошел проверку подписи..
Необходимые дополнения в bp-loader:
Размещаем за подписью bp-loader структуру следующего формата:
первые четыре байта от начала структуры - 0xB17219E9 - константа, по которой проверяется корректность структуры.
следующие четыре байта - размер структуры (должен быть кратен восьми, но не больше 256).
Дальше следует список адресов и значений (четыре байта на адрес и четыре - на значение).
В заголовке bp-loader необходимо поставить указатель на эту структуру, (четыре байта по адресу +0x14 от начала bp-loader) и указатель на этот указатель (по адресу +0x0c от начала bp-loader).. Соответственно чтобы bp-loader прошел проверку подписи - нужно будет вернуть заголовок к изначальному виду (обычно в данных полях нули) и поэтому первыми патчами описанными в структуре - делается именно запись нулей в данные поля.. Дальше следуют патчи которые нужно применить к ап-буту..
После ряда экспериментов я получил минимальный набор патчей бута которые приводят к тому что телефон соглашается работать с неподписанной прошивкой для бутов 06.a3 (e8) и a3.cf (v8) - телефоны которые "дожили" до победы..
Патчи зависят от версии бута, при установке неправильных патчей, или правильных, но не соответствущих версии бута - получаете труп. У меня уже лежит убитый z6 - на нём пробовались ранние версии патчей, в которых я не учёл некоторых проверок в буте, у dimichxp - убитый е8. Получится ли восстановить эти телефоны - большой вопрос..
Ну, основные вещи вроде все написал, прилагаю полученные буты, которые нужно просто прошить в телефон, если версия бута Вашего телефона совпадает с одной из указанных.. Хотя даже если совпадает - подумайте лишний раз насколько Вам всё это нужно ))

если кто возьмется портировать это на другие версии бутов/телефоны - имейте в виду что нужно быть предельно внимательным и перепроверять всё что делаете, попытка скорее всего будет только одна!!!

a3.cc (z6) - проверил на своём восстановленном z6 - всё работает, только ругается на security-версии кодовых груп, если их затирать. т.е. можно просто их сохранять.. хотя я поправил в cdt требование не проверять rootfs и лэнг - лэнг пересобранный и ничем не дополненный, rootfs - не пересобирал, просто стер подпись и security-версию.. если не править cdt - валится с ошибками на проверке версий, после исправления cdt - нормально работает..

ps: патч для бута 06.2b (zn5) - пока находится в стадии тестирования, не гарантируется, что его применение приведет к обходу RSA, но будучи прошитим на телефон с соответствующей версией бута - трупов быть не должно.. (чуть инфы для интересующихся - на новых версиях патчей не делается подмены инженерности, т.е. патчатся только собственно функции проверки подписей)..
06.2b (zn5).

pps: добавил патч для бута 06.a9 (e8) - пока для тестирования, хотя в принципе я его проверил - телефон после установки патча работал с неподписанными группами. опять же следим за версиями кодовых групп и не зашиваем всё без разбору..

добавил патч для бута 06.2a (u9) - спасибо за тестирование andrey_moto.

Сообщение отредактировал yakk - 16.1.2009, 3:57

[Сумерок]

Тем, кто прошил на Е8 прошивку с подписанной cg52, приходится мириться с бутом 06.А9. Правильно я понимаю, что файл в прикрепленном посте шить совсем не стоит и нужно подождать версию под свой бут?

[Bogd@n]

Тем, кто прошил на Е8 прошивку с подписанной cg52, приходится мириться с бутом 06.А9. Правильно я понимаю, что файл в прикрепленном посте шить совсем не стоит и нужно подождать версию под свой бут?

да,шить ненужно, иначе убьеш телефон.Нужно ждать патч под твой бут!

[E2008]

Как я понимаю если я поставлю новую прошивку под е8 а потом применю данный патч у меня снимеца RSA безопасность? И мне не нужно будет качать 2 прошивки и заменять ‎‎CG31?

[Arch0n]

E2008, перед применением новую прошивку ставить не обязательно. Главное - что бы версия буута совпадала.
Да и вообще, лучше без крайней необходимости не снимать РСА, ведь в буте светится надпись "No RSA boot". А с таким, если вдруг что, телефон очень палевно нести в сервисный центр)))

Сообщение отредактировал Arch0n - 2.1.2009, 9:19

[aleks_ar]

Вопрос по поводу возможности отката. Я так понимаю, что выложены патченые буты на которых не проверяется подпись прошивки. А если прошить нормальный (непатченый) бут и заводскую прошивку? Т.е. возможно ли вернуться к исходному состоянию, или обход рса - необратимая процедура?

[hobbit_19]

А если прошить нормальный (непатченый) бут и заводскую прошивку? Т.е. возможно ли вернуться к исходному состоянию, или обход рса - необратимая процедура?

обратимая.
Пользователю запрещено создавать сообщения

[Ralf555]

Great news. My hopes are rising for my ZN5. I would like to understand this procedure more in details and maybe trying to make a patch for ZN5 06.2A but I'm unable to read and understand the instruction. Some native russian speaker with excellent english skills should translate the important postings for all non russian speaker. That would help a lot. Thanks in advance.

ZN5 06.2B is only interesting for the T-Mobile ZN5 with 128 MB ROM in US. European and asian ZN5 currently running with 06.2A bootloader.

Сообщение отредактировал Ralf555 - 3.1.2009, 3:02

[rasputin007]

After replacing the "normal" A3.CF bootloader with the No_RSA A3.CF bootloader, I then flashed a unsigned CG46 (Language pack, unsquashfs and mksquashfs -> original CG46 without signature). RSDLite flashed perfect, but V8 shows error A5.70.2E after the bootlogo.
Then I tried the 80.46.1BR CG36, replaced the alarm clock, calendar and calculator with the ZN5 files, mksquashfs and flashed. Again RSDLite works perfect, but this time error A5.694E.24 after bootlogo.
My command line is "mksquashfs ........ -le -b 16384"
But then I tried a original CG46 and replaced the signature with "FF", still same error.
Where do I go wrong?

Сообщение отредактировал rasputin007 - 3.1.2009, 19:16

[rasputin007]

Ok, problem solved!
I have been able to mod a CG36 and flash it successfully to V8, see firmware version in screen shot.

[zolookas]

Great news. My hopes are rising for my ZN5. I would like to understand this procedure more in details and maybe trying to make a patch for ZN5 06.2A but I'm unable to read and understand the instruction. Some native russian speaker with excellent english skills should translate the important postings for all non russian speaker. That would help a lot. Thanks in advance.

ZN5 06.2B is only interesting for the T-Mobile ZN5 with 128 MB ROM in US. European and asian ZN5 currently running with 06.2A bootloader.

Look here: обход rsa на motomagx телефонах

[GandjaFuzz]

такс а вот на счет патча для zn5 я не понял. он не будет снимать рса. там только заголовок бута меняется на NORSA boot

[yakk]

GandjaFuzz угу, у hobbit19 есть и полная версия, не знаю почему он именно эту выложил а я не проверив добавил ссылку в закрепленное.. но главное, что бут таким образом отпатчить можно и на zn5


Сообщение отредактировал yakk - 5.1.2009, 12:45

[rasputin007]

Thank you, yakk!
For the work you have done. I am certainly a much happier V8 modder now.
I only hope this bootloading hole can be used in other Motomagx phones as they have all codegroups signed.

[theCore]

It's time to come back to my V8, AWESOME WORK YAKK!

[hobbit_19]

GandjaFuzz угу, у hobbit19 есть и полная версия, не знаю почему он именно эту выложил а я не проверив добавил ссылку в закрепленное.. но главное, что бут таким образом отпатчить можно и на zn5

перепутал файлики =))
верный http://ezxdev.org/c00a0000.bin
каму нада думаю осилит собрать и прошить.

Сообщение отредактировал hobbit_19 - 5.1.2009, 17:24
Пользователю запрещено создавать сообщения

[andrey_moto]

убит з6, кто нить тп делал на нем? и вообще нашли ли его?

Сообщение отредактировал andrey_moto - 6.1.2009, 13:05

[Chacha_Ivanov]

yakk,
извини, больше не знаю к кому обратиться, можешь мне объяснить причину происхождения одной проблемы, хотя бы примерно.

Проблема в следующем, по пунктам:
1. Беру оигинальную КГ36, убираю из нее подпись, прошиваю, все нормально. Тел включается
2. Беру пересобранную КГ36, тоже без подписи, с выравненным размером, прошиваю. Тел после этого в буте с ошибкой.
3. Опять беру эту тупую КГ36 пересобранную, вставляю в нее подпись по оригинальному адресу. И получаю мигающую заставку, но ошибок никаких нет.

В правильности сборки сквоша я уже не сомневаюсь. это можно отбросить. Ядро правленное от Abram'a прошивается тоже нормально если с подписью. Лэнг тоже шьется нормально, НО даже если в нем этой подписи нет.

Вот такая мистика. Где ж грабли могут быть?

yakk: пока хз, там кроме собственно рса в буте еще всяких проверок хватает, в принципе все они обходятся и без патчей, если делать всё аккуратно. на z6 - сейчас наверное с большим трудом, т.к. инженерность там не выправляли в буте.. (хотя мигающая заставка - имхо всё-таки кривая fs в cg36..)

Сообщение отредактировал yakk - 7.1.2009, 7:05

[Сумерок]

ждем-с бут E8 06a9

[andrey_moto]

задам может глупый вопрос, но вроде u9 и zn5 немного похожи, будет ли что нить для u9?

[Grindars]

Объясни плз, как ты ее пересобрал??

1. Посмотрел версию squashfs file'ом
   
   Код
   
   root.squash: Squashfs filesystem, little endian, version 2.1, 29530336 bytes, 1492 inodes, blocksize: 16384 bytes, created: Thu Jan  1 03:00:01 1970
   
2. Собрал соответствующие тулзы
3. Смонтировал:
   
   Код
   
   # mount -o loop root.squash mnt
   
4. Скопировал cp -a в другой каталог (tree), поправил нужное, отмонтировал, создал образ:
   
   Код
   
   # mksquashfs tree newroot.squash -noappend -le
   
5. Нашел подпись за ФС (я не уверен в правильности последующего, но это сработало). В следующих командах 0x01cfb7fc - смещение первого байта подписи, 0x01cfbc52 - последнего.
   
   Код
   
   $ hexdump root.squash -s 29530336 -C
   01c298e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
   *
   01c2a000  ff ff ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |................|
   *
   01cfb7f0  ff ff ff ff ff ff ff ff  ff ff ff ff 04 00 00 00  |................|
   01cfb800  b3 00 c9 02 14 da 95 1b  6d dc 97 07 ce 40 ea 53  |........m....@.S|
   .. пропущено ..
   01cfbc30  5b 75 bc 70 d9 71 f6 09  21 d1 62 ad 80 7d 65 05  |[u.p.q..!.b..}e.|
   01cfbc40  86 b3 ae a1 36 4a 56 53  fd 36 90 e3 b7 1f 4b dd  |....6JVS.6....K.|
   01cfbc50  4b 91 ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |K...............|
   01cfbc60  ff ff ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |................|
   *
   01cfc000
   
6. Сделал два вспомогательных файла с ff:
   
   Код
   
   dd if=/dev/zero count=1 bs=$(( 0x01cfb7fc - `stat -c '%s' newroot.squash` )) | tr '\000' '\377' > before_sign.bin
   dd if=/dev/zero count=1 bs=$(( `stat -c '%s' root.squash` - 0x01cfbc52 )) | tr '\000' '\377' > after_sign.bin
   
7. Извлек подпись
   
   Код
   
   dd if=../root.squash of=signature.bin bs=1 skip=$(( 0x01cfb7fc )) count=$(( 0x01cfbc52 - 0x01cfb7fc ))
   
8. Объединил
   
   Код
   
   cat ../newroot.squash before_sign.bin signature.bin after_sign.bin > cg.bin
   

Без подписи бут ругался так:

Код

Err:A5,70,24

А с последней версией squashfs (3.3) - ребутился

Надо флексбит править, но для этого другая тема есть)

ок

[Chacha_Ivanov]

Grindars,
все так и делал. Но тел постоянно ребутиться. Сквош 2.1. Все как надо.

А параметр -noappend для чего?

[Grindars]

Grindars,
все так и делал. Но тел постоянно ребутиться. Сквош 2.1. Все как надо.

А параметр -noappend для чего?

Попробуй 2.0, в ядре такой патч, и я такие тулзы юзал

-noappend - это чтобы если образ уже существует, не дописывать к нему, а заменять новым.

[Chacha_Ivanov]

Все, пересобрал) Проблема решилась установкой ALT Linux

До этого стояли мандрива и убунту

Сообщение отредактировал Chacha_Ivanov - 8.1.2009, 15:58

[Grindars]

Все, пересобрал) Проблема решилась установкой ALT Linux

У меня Debian (testing) и Gentoo (amd64) все нормально

[yakk]

Grindars, сама подпись в общем-то не так и важна, перед ней по смещению 0x01cfb7fc для cg36 от z6 - четыре байта - это версия кодовой группы, вот и её и нужно сохранять.. можно еще в принципе в cdt поисправлять в каких группах она проверяется, по смещению +0x22 от начала описания каждой группы(от первого байта имени группы) - 0x01 - проверяется, 0x00 - нет.. (кроме прошивки bp - с её подписью работает сам bp)

Сообщение отредактировал yakk - 9.1.2009, 4:54

[Neko-mata]

на Е8 все работает. трупа не получил

[Abram]

Grindars,
Неужели заинтересовался ещё один понимающий человек?
Контакты в профиле, стучи.

[zidane]

На е8 не работает, если до этого прошивалась R6713_G_71.14.1CR_A, с подписанной CG52...=(
В буте вылазят error'ы: A5,70,27,00,1F...

yakk: там дело скорее всего не в рса и не в цг 52, а в том что 1cr_a повышает security-версию cdt (cg31).. попробуйте собрать прошивку с cg31 от 1cr_a, и неподписанной цг52, к примеру.. я посмотрю что там к чему..

Сообщение отредактировал yakk - 9.1.2009, 16:45

[Arch0n]

там дело скорее всего не в рса и не в цг 52, а в том что 1cr_a повышает security-версию cdt (cg31).. попробуйте собрать прошивку с cg31 от 1cr_a, и неподписанной цг52, к примеру.. я посмотрю что там к чему..

Спасибо ! Всё отлично работает. Сейчас поставлю + !

А нет, не поставлю.. 30 дней между повышениями одному пользователю

Сообщение отредактировал Arch0n - 9.1.2009, 19:25

[Chacha_Ivanov]

Сегодня заметил кстати что теперь когда телефон вообще в ноль разряжен, в буте все равно пишет OK to program...

[theCore]

Hi yakk i noticed that even ARGONs bl checks for the same structure maybe it's possibile to bypass also argons rsa...

yakk: i haven't work with ARGON, so i don't know correct answer.. the way described here will work if ARGON's dsp and cpu shares the same ram, and ARGON's irom loader allows to write to ram.. To check that, you need at least to find the way to read out ARGON's dsp irom... May be there is some other way to use that structure on ARGON - look for it ..

edit1: i will have a look but i didn't understand well about this structure

edit2: in V6 bl that structure is also present in the bl, exactly at 0xA0000084. (bl should start at A0000000 but i think that is not bl maybe is the irom-loader, in my opinion bl starts at 0xA0001000), if you want to take a look

edit3: i was wrong in edit2 , there's no irom-loader

Сообщение отредактировал theCore - 11.1.2009, 20:08

[Skrilax_CZ]

On page 4 there is English translation.

[andrey_moto]

Простите за настойчивость но для у9 будет такое или нет?

yakk: если будешь тестировать - могу сделать скажи какая версия бута и, по возможности, дай ссылку на бутреплейсер..


Добавлено позже (15.1.2009, 14:12):
Блин что с жимом сегодня? Короче бут последний который всех обломал, 27_06r прошивка и выше. В архиве должен быть бутреплейсер. А могу выложить его себе на фтп когда домой приду. Насчет тестов чет стремно. Я так свой з6 убил а потом хорошо что восстановили ты и ганжа. Спасибо. На у9 пока тп нету. Да и разобрать не известно как!

Сообщение отредактировал yakk - 15.1.2009, 11:36

[mardariy]

вот ссылка на реплейсер для U9, могу "потестировать") https://rsddownload.motorola.com/download/R...replacer.shx.gz

yakk: спасибо за ссылку.. я уже отдал патч на бут 06.2a andrey_moto на тестирование.. пока ждем от него результата

Сообщение отредактировал yakk - 15.1.2009, 20:07

[andrey_moto]

Все отлично работает на у9! Стояла последняя проша 27-09R прошил патч. Пересобрал ленг от этой же проши и вуаля, тел живой и работает на ура. Спасибо уакк!!! Настало время для у9!

yakk: добавил бут 06.2a от u9 в закрепленное сообщение..

Сообщение отредактировал yakk - 16.1.2009, 3:55

[r.o.m.a.N]

добавил патч для бута 06.2a (u9) - спасибо за тестирование andrey_moto.

На ZN5 тоже стоит бут 06.2a. Патченный бут от U9 встанет на зину?

[Slim_Shady]

сорри за навязчивость нне скажете, как продвигается работа с обходом\взломом на зайне?

yakk: никак не продвигается потому как проверять патченый бут не на чем )) если есть желание - можешь сам потестить бут 06.2а (zn5): http://_upload.com.ua/get/900665377/ только гарантий никаких дать не могу..

Сообщение отредактировал yakk - 24.1.2009, 10:08

[PUSYA]

Is this ZN5 RSA Patch?

Yes

Download doesn't work, cannot try.

zn5_062a.rar   ( 140.11 килобайт ) Кол-во скачиваний: 8529

Сообщение отредактировал PUSYA - 24.1.2009, 11:43

[yakk]

Решил выложить кое-какой инструмент который наваял за время ковыряния в прошивках на scma11: процессорный модуль для иды, работающий с старкоровским кодом - модуль не доведен до ума - фунционал сильно уступает стандартным ida-вским модулям, но желающих ковырять - это вряд ли остановит )) в общем прикладываю сборку для ida 5.2, ошибки наверное есть, так что исходники берем здесь http://hg.ezxdev.org/starcore-idap - и смотрим что к чему.. вообще модуль будет работать на dsp который в scma11 и argon, скорее всего будет работать на pog - хотя тут инфы недостаточно..
ps (или к чему это всё ) - хотелось бы найти способ запуска своего кода на bp-части magx телефонов, это не принципиально для пользователей, но хотелось бы сказать - что рса побороли полностью ))

[Neomoto]

В буте пишет No RSA

yakk, а можно сделать чтобы как раз-таки это No RSA не писалось? Хочется прошить этот бут, но не хочется потом в сервисном центре получить отказ в гарантии если что с телефоном случится.

yakk: можно - нужно патч поправить, хотя имхо лучше чтобы писалось чтобы видно было что к чему..
на случай сервиса - лучше просто прошить родной непатченный бут т.к. если будут ковырять телефон серъезно - всё равно заметят что бут неродной..

Сообщение отредактировал yakk - 25.1.2009, 9:21