بسم الله الرحمن الرحيم
آخر تصريحات المبدع Mofadal El-Tayeb بعد التحديث الأخير للأداة MTK META Utility V70
I have never been tired of sharing knowledge with people
اثناء البحث عن حلول لاجهزة Vivo بمعالجات ميدياتك اللي تم تعطيل وضع BootROM فيها، حصلت على شوية معلومات قلت اشاركها معاكم :
البحث عن ثغرات كان ليه اكثر من إتجاه ،
اول بوابة :
- كانت ثغرة وضع الاسترجاع recovery mode والبحث عن اماكنية تسمح بتعديل حزمه التحديث OTA zip وعمل تصحيح ل
(Anti-rollback flag/version) من (3 > 2) ، وتم التوصل لان وجود ثغرات عن طريق هذه البوابه شبه مستحيل (حتي الآن) ، لان التحديث بيكون موقع ب RSA signature ، ويتم عمل
(verification for the whole package against RSA key)
بينات التوقيع توجد فاخر الحزمه, هذه المعلومه قديمه ومعروفه و لكن كانت تستحق المحاوله.
- If any one here will be able to resign OTA packages please DM me.
البوابه الثانية:
- كانت وضع المحمل الاساسي (preloader mode) كما هو معروف فالتحديثات الاخيرة تم اصلاح عده ثغرات بدأ من فبراير 2021 للشهر الحالي، اول ثغره تم تصحيحها هي ثغره التحويل لوضع الطوارئ المضمنة في المعالج ، عن طريقه تغيير إعدادات
- (BOOT_MISC2 to cause system reset with (AP-CH)
- Platform reset to emergency mode with WatchDog/AP misc configuration help.
- الثغرة الثانيه كانت تتعلق بـ DA command handler
- هذه الثغره نفسها كانت مقسومة لجزئين ، الجزء الأول منها كان عن طريق ارسال ملف محمل DA غير موقع, بعدها تلقائيا الجوال يتم تحويله لوضع البوتروم، الجزء الثاني من الثغره كان عن طريق القراءة من الجهاز من اول (address (0 عن طريق
- BRom Read32 CMD for 64-bit based chipsets such as MT67xx & MT68xx with eMMC and UFS controllers.
- BRom Read16 CMD for 32-bit based chipsets such as MT6592/MT673x with eMMC controllers.
- BRom Write CMD for NFB/NAND/NOR/SF flash.
- الثغرات اعلاها تم تصحيحها بشكل كامل.
- الثغره الاخيرة كانت خاصه لاجهزه فيفو اللي تحمل معالجات MT68xx مع UFS controller, وهذه الثغره بالتحديد لم يتم عمل شرح كافي عنها ، بس تم توضيح خطورتها علي بيانات الجهاز، لمعلومات مفصلة عنها، تم شرحها في
- MTK META Utility V70 (Phased out section)
- اثناء البحث والتحليل كان لابد من دراسه نظام الإقلاع بشكل مفصل ، من النقاط اللي تم التركيز عليها هي
- WDT (aka Watch Dog timer driver)
- PMU/PMIC (Power Management Unit-Power Management IC)
- اثناء الدراسة و العمل علي المهمه المحدد اعلاه ، كنت بشتغل علي مشاريع اخرى منها طلعت بمعلومتين يمكن يكونوا مفيدين للبعض،
- في جهاز Redmi 9A/C مشكله تعليق الجهاز علي وضع DA بعد فشل تهيئة الرام ، في حال عدم استخدام ملف بريلودر متوافق او عدم إستخدام ملف بريلودر من روم مطورين EngROM , الحل الاسرع هو بفك الغطاء الخلفي للجوال وفصل البطارية او مصدر الطاقه واعاده العمليه بملف بريلودر متوافق ، في حل اخر
- طبعا اثناء التعليق علي وضع الـDA هنا بمجرد مايتم رفع المحمل الاولي اللي 1st preloader هنا يتم اللجوء الي او استخدام مصدر الطاقه للمساعده في عمله تهيئة الـ RAM اذا وصلت من غير بطاريه يتم استخدام مصدر الطاقه الخارجي، المهم هنا ياتي دور ال PMU , هذه المرحلة مختلفه طبعا عن وضع الثبات ، بمعني ان الجوال هنا بيستهلك طاقه ، بمعنى اذا تركت الجهاز من غير توصيل اي USB حتي يتم استهلاك طاقه البطاريه في خلال ساعات ، الجهاز بيرجع يتصل في وضع البوتروم بعدها بيقلع بشكل طبيعي عن تجربة ، اذا عندك فكره تفرغ طاقه البطاريه بشكل اسرع افضل، بمجرد تفريغ الطاقه تقدر تستخدم الجوال ويرجع يقرأ بشكلٍ طبيعي.
-
- المعلومه الثانية متعلقه بمعالج SPD/UNISOC ، طبعا هذه المعالجات بطيئة جدا في القراءة والكتابة لانها تستخدم بروتوكولات (HDLC/XMODEM) سواء Diag او BootROM , لتجنب مشاكل فصل الجوال اثناء القراءة او الكتابة ، تأكد من شحن البطارية قبل اي عملية , لان عملية النقل هنا تستخدم مصدرين للطاقة.
*****************************************************
بالنسبه لاجهزه Vivo الحمايات الجديدة كتبت تعليق قبل ذلك شرحت فيه كل النقاط المهمة ، سأكتبها هنا لانها لم تصل الى كل الناس،
اجهزة VIVO MTK الحمايات الجديدة في منها اجهزة تم عمل fuse لها،
وهذا باتش من الشركة يوقف وضع البروم أهم معالج حاليا هو MT6765.
من أجل عدم حصول مشاكل بالامكان معرفة اصدار الحماية عن طريق استخدام اخر اصدار من اداة - MTK META Utility
وتستخدم زر (VIVO New SEC ReadInfo) V66
في حال كان الجهاز
يحمل ذاكرة eMMC ، اما اذا الذاكرة UFS ممكن يدخل بروم مع مسح كل القطاعات ومش آمنه الطريقه لاجهزة UFS
- الحمايات الجديده محتاجه تركيز في اصدار الحمايه والشهر بالتحديد.
- حمايه شهر 7 تقدر تشتغل بروم وبريلودر يعني لو
عملت force brom امان.
- حمايه شهر 8 تقدر تشتغل preloader فقط لو محتاج عمليات brom اشتغل test point لانه اذا عملت force brom في حمايه شهر 8 الجهاز حيطفي ومش هيتعرف عليه الكمبيوتر خالص مش هيحس بيه ، في اجهزه ال testpoint اتعطل فيها واجهزه مازال شغال في حمايه شهر 8 لان الموضوع كان تجريبي فاجهزه لم يتم عمل باتش لها بشكل كامل، الحل الأمن هو التعامل علي وضع preloader
- حمايه شهر 9 تتبع شهر 8
- حمايه شهر 10 تم تعطيل كل الطرق preloader mode الجهاز مش هيقبل DA وبيطلع خطأً 00007024
مش هيقرا بروم او test point لانه fused بشكل كامل، حتي الادوات اللي بتستخدم auth مثل TFM مش هتعرف تتعامل معاه ، تيست بوينت اتعطلت تمام فالتحديث دا حتي لو وصلت clk > gnd مش هيقرا، الحل فقط ISP
وكمان لو وصلت ISP وعملت downgrade برضه
مش هيقرا بروم.
النقطه الاهم هي فقط التركيز فاصدار الحمايه اولا لان اي شهر ليه حمايه جديده احدث من إللي قبلها لان الموضوع كان تجريبي ومش معمم علي كل
الاجهزه ، بعدها تقرر تعمل ايه.
هم وصلوا وقفلوا كل حاجه في تحديث شهر 10 التحديث لسا نازل من 3 ايام لو حد معاه جهاز فيفو و عايز يجربه يدخل على system update وجواها في trail version اللي فيه آخر حمايه.
- حمايه شهر 11 تم تصحيح مزيد من الثغرات فيها طبعا بعضها كان خفي بالنسبه لنا بس هم اعلم طبعا بالكود المصدري تبعهم الخاص بالبوتروم، مع ذلك التصحيحات الاخيره للان تشمل معالج MT6765/2
مثلا معالج MT6768 لم يتم تعطيل ال signature الخاصه بالمحمل DA الموقع حتي في اخر حمايه لكن للاسف المحمل المتوفر لهذا المعالج يدعم readback فقط واجهزه UFS وحتي الاجهزه اللي تدعم مودمات 5G بمعالجات eMMC لم يتم تصحيحها بشكل كامل، لكن معالج MT6765/2
تم قفل كل الأبواب للبحث عن ثغرات، ومع ذلك للان توجد بوابه واحده للتنزيل - recovery mode
- ومازال البحث مستمر عن حلول ، لان اللي بتعمله شركه BBK الان يعد بمثابه تصريح ان العميل لا يملك جهازه وليس باماكنه التعديل على السوفتوير.
آخر تصريحات المبدع Mofadal El-Tayeb بعد التحديث الأخير للأداة MTK META Utility V70
I have never been tired of sharing knowledge with people
اثناء البحث عن حلول لاجهزة Vivo بمعالجات ميدياتك اللي تم تعطيل وضع BootROM فيها، حصلت على شوية معلومات قلت اشاركها معاكم :
البحث عن ثغرات كان ليه اكثر من إتجاه ،
اول بوابة :
- كانت ثغرة وضع الاسترجاع recovery mode والبحث عن اماكنية تسمح بتعديل حزمه التحديث OTA zip وعمل تصحيح ل
(Anti-rollback flag/version) من (3 > 2) ، وتم التوصل لان وجود ثغرات عن طريق هذه البوابه شبه مستحيل (حتي الآن) ، لان التحديث بيكون موقع ب RSA signature ، ويتم عمل
(verification for the whole package against RSA key)
بينات التوقيع توجد فاخر الحزمه, هذه المعلومه قديمه ومعروفه و لكن كانت تستحق المحاوله.
- If any one here will be able to resign OTA packages please DM me.
البوابه الثانية:
- كانت وضع المحمل الاساسي (preloader mode) كما هو معروف فالتحديثات الاخيرة تم اصلاح عده ثغرات بدأ من فبراير 2021 للشهر الحالي، اول ثغره تم تصحيحها هي ثغره التحويل لوضع الطوارئ المضمنة في المعالج ، عن طريقه تغيير إعدادات
- (BOOT_MISC2 to cause system reset with (AP-CH)
- Platform reset to emergency mode with WatchDog/AP misc configuration help.
- الثغرة الثانيه كانت تتعلق بـ DA command handler
- هذه الثغره نفسها كانت مقسومة لجزئين ، الجزء الأول منها كان عن طريق ارسال ملف محمل DA غير موقع, بعدها تلقائيا الجوال يتم تحويله لوضع البوتروم، الجزء الثاني من الثغره كان عن طريق القراءة من الجهاز من اول (address (0 عن طريق
- BRom Read32 CMD for 64-bit based chipsets such as MT67xx & MT68xx with eMMC and UFS controllers.
- BRom Read16 CMD for 32-bit based chipsets such as MT6592/MT673x with eMMC controllers.
- BRom Write CMD for NFB/NAND/NOR/SF flash.
- الثغرات اعلاها تم تصحيحها بشكل كامل.
- الثغره الاخيرة كانت خاصه لاجهزه فيفو اللي تحمل معالجات MT68xx مع UFS controller, وهذه الثغره بالتحديد لم يتم عمل شرح كافي عنها ، بس تم توضيح خطورتها علي بيانات الجهاز، لمعلومات مفصلة عنها، تم شرحها في
- MTK META Utility V70 (Phased out section)
- اثناء البحث والتحليل كان لابد من دراسه نظام الإقلاع بشكل مفصل ، من النقاط اللي تم التركيز عليها هي
- WDT (aka Watch Dog timer driver)
- PMU/PMIC (Power Management Unit-Power Management IC)
- اثناء الدراسة و العمل علي المهمه المحدد اعلاه ، كنت بشتغل علي مشاريع اخرى منها طلعت بمعلومتين يمكن يكونوا مفيدين للبعض،
- في جهاز Redmi 9A/C مشكله تعليق الجهاز علي وضع DA بعد فشل تهيئة الرام ، في حال عدم استخدام ملف بريلودر متوافق او عدم إستخدام ملف بريلودر من روم مطورين EngROM , الحل الاسرع هو بفك الغطاء الخلفي للجوال وفصل البطارية او مصدر الطاقه واعاده العمليه بملف بريلودر متوافق ، في حل اخر
- طبعا اثناء التعليق علي وضع الـDA هنا بمجرد مايتم رفع المحمل الاولي اللي 1st preloader هنا يتم اللجوء الي او استخدام مصدر الطاقه للمساعده في عمله تهيئة الـ RAM اذا وصلت من غير بطاريه يتم استخدام مصدر الطاقه الخارجي، المهم هنا ياتي دور ال PMU , هذه المرحلة مختلفه طبعا عن وضع الثبات ، بمعني ان الجوال هنا بيستهلك طاقه ، بمعنى اذا تركت الجهاز من غير توصيل اي USB حتي يتم استهلاك طاقه البطاريه في خلال ساعات ، الجهاز بيرجع يتصل في وضع البوتروم بعدها بيقلع بشكل طبيعي عن تجربة ، اذا عندك فكره تفرغ طاقه البطاريه بشكل اسرع افضل، بمجرد تفريغ الطاقه تقدر تستخدم الجوال ويرجع يقرأ بشكلٍ طبيعي.
-
- المعلومه الثانية متعلقه بمعالج SPD/UNISOC ، طبعا هذه المعالجات بطيئة جدا في القراءة والكتابة لانها تستخدم بروتوكولات (HDLC/XMODEM) سواء Diag او BootROM , لتجنب مشاكل فصل الجوال اثناء القراءة او الكتابة ، تأكد من شحن البطارية قبل اي عملية , لان عملية النقل هنا تستخدم مصدرين للطاقة.
*****************************************************
بالنسبه لاجهزه Vivo الحمايات الجديدة كتبت تعليق قبل ذلك شرحت فيه كل النقاط المهمة ، سأكتبها هنا لانها لم تصل الى كل الناس،
اجهزة VIVO MTK الحمايات الجديدة في منها اجهزة تم عمل fuse لها،
وهذا باتش من الشركة يوقف وضع البروم أهم معالج حاليا هو MT6765.
من أجل عدم حصول مشاكل بالامكان معرفة اصدار الحماية عن طريق استخدام اخر اصدار من اداة - MTK META Utility
وتستخدم زر (VIVO New SEC ReadInfo) V66
في حال كان الجهاز
يحمل ذاكرة eMMC ، اما اذا الذاكرة UFS ممكن يدخل بروم مع مسح كل القطاعات ومش آمنه الطريقه لاجهزة UFS
- الحمايات الجديده محتاجه تركيز في اصدار الحمايه والشهر بالتحديد.
- حمايه شهر 7 تقدر تشتغل بروم وبريلودر يعني لو
عملت force brom امان.
- حمايه شهر 8 تقدر تشتغل preloader فقط لو محتاج عمليات brom اشتغل test point لانه اذا عملت force brom في حمايه شهر 8 الجهاز حيطفي ومش هيتعرف عليه الكمبيوتر خالص مش هيحس بيه ، في اجهزه ال testpoint اتعطل فيها واجهزه مازال شغال في حمايه شهر 8 لان الموضوع كان تجريبي فاجهزه لم يتم عمل باتش لها بشكل كامل، الحل الأمن هو التعامل علي وضع preloader
- حمايه شهر 9 تتبع شهر 8
- حمايه شهر 10 تم تعطيل كل الطرق preloader mode الجهاز مش هيقبل DA وبيطلع خطأً 00007024
مش هيقرا بروم او test point لانه fused بشكل كامل، حتي الادوات اللي بتستخدم auth مثل TFM مش هتعرف تتعامل معاه ، تيست بوينت اتعطلت تمام فالتحديث دا حتي لو وصلت clk > gnd مش هيقرا، الحل فقط ISP
وكمان لو وصلت ISP وعملت downgrade برضه
مش هيقرا بروم.
النقطه الاهم هي فقط التركيز فاصدار الحمايه اولا لان اي شهر ليه حمايه جديده احدث من إللي قبلها لان الموضوع كان تجريبي ومش معمم علي كل
الاجهزه ، بعدها تقرر تعمل ايه.
هم وصلوا وقفلوا كل حاجه في تحديث شهر 10 التحديث لسا نازل من 3 ايام لو حد معاه جهاز فيفو و عايز يجربه يدخل على system update وجواها في trail version اللي فيه آخر حمايه.
- حمايه شهر 11 تم تصحيح مزيد من الثغرات فيها طبعا بعضها كان خفي بالنسبه لنا بس هم اعلم طبعا بالكود المصدري تبعهم الخاص بالبوتروم، مع ذلك التصحيحات الاخيره للان تشمل معالج MT6765/2
مثلا معالج MT6768 لم يتم تعطيل ال signature الخاصه بالمحمل DA الموقع حتي في اخر حمايه لكن للاسف المحمل المتوفر لهذا المعالج يدعم readback فقط واجهزه UFS وحتي الاجهزه اللي تدعم مودمات 5G بمعالجات eMMC لم يتم تصحيحها بشكل كامل، لكن معالج MT6765/2
تم قفل كل الأبواب للبحث عن ثغرات، ومع ذلك للان توجد بوابه واحده للتنزيل - recovery mode
- ومازال البحث مستمر عن حلول ، لان اللي بتعمله شركه BBK الان يعد بمثابه تصريح ان العميل لا يملك جهازه وليس باماكنه التعديل على السوفتوير.