小爱同学触屏音响Security Breach,成功越狱安装第三方App——10

由于6月8日最新系统中的更新封堵了一个漏洞,最新的更新直接删除了系统设置界面,即com.android.settings包,导致没有一个途径去修改权限。即使到了最终的安装界面,但是由于过不了安装未知应用的二次确认。最终也会失败,如果还没有更新到最新系统的,请千万不要更新,还可以继续尝试本系列的破解方法,已经破解的设备目前还没有受到限制,请务必屏蔽自动更新。由于上述问题,篇十无限期延迟更新,一旦发现新的方法,我会立即更新的。

我是占位符。。。。。。

2020/9/20更新:

小米工程师真的很鸡贼,自从上次修复了漏洞之后就一直不更新固件了,想通过解析固件来进一步分析好像行不通了,目前的更新好像都是改成热更新了(只更新软件,不更新安卓底层),破解之路任重而道远。

《小爱同学触屏音响Security Breach,成功越狱安装第三方App——10》有17条留言

  1. 楼主这个是小爱触屏音箱pro8的完整固件包,你可以下载后研究下https://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/x08a/payload_inc_1.0.2_1.8.14_abdd5.bin

    回复
  2. 楼主你要是有兴趣的话可以交流下

    1.可以尝试用直接读写EMMC的方式把第三方桌面apk安装包文件浏览器等扔到system分区下的app目录里,应该会自动安装。
    (未尝试但是应该可行,因为小爱触屏音响的EMMC分区表未加密而新版本的DiskGenius也可以直接读写EXT4分区很方便)

    2.但是你说的没有setting.apk(未证实)我还真是想不出来办法(你如果没升级可以给复制一份出来)

    3.此外我有“小爱触屏音响”和“redmi小爱触屏音响8的工程机”(原生安卓8.1.0系统自动开放带root权限的usb ADB权限,但是现在也没什么大的用了,因为系统整体升级安卓9了)

    回复
    • 1.直接读写EMMC需要拆机+焊接,风险大不现实,即使我可以实现,其他人也不一定。
      2.因为其是后台强制升级,而且漏洞封堵得太快,我也没来得及备份。
      3.可以将所有分区备份出来,新机器可以尝试用MTK的工具进行强刷(未尝试)。

      最后,MTK的那一套东西不开源,目前想破解,很难。

      回复
      • 请问你是怎么得出com.android.settings被删除的结论?
        (会不会换目录了而已,我解包picel2的安卓9刷机包里面也没找到setting.apk,但是系统里确实是有的)
        (还有就是如果真没有系统设置那必然会很麻烦)

        回复
        • 我之前有安装当贝桌面,它有一个添加应用快捷方式的选项,我将设置添加到了桌面,强制更新之后快捷方式消失,且再想重新添加的时候发现应用列表根本就没这个包了,且使用其他方式拉起系统设置就会崩溃。目前应该是切换到了小爱桌面那一套对系统设置进行管理,但是能肯定的是它目前还没有完全清除系统设置数据库/data/data/com.android.providers.settings/databases/settings.db,因为之前的一些设置好的权限得到了保留。另外setting.apk一般不会在/system/app/ 目录,应该是/system/priv-app/。

          回复
      • 直接读写EMMC似乎是可以通过SP Flash tool进行的。我试了一下,将小爱断电,USB连接电脑,通电的几秒钟内,设备管理器有MediaTek PreLoader USB VCOM出现,这个应该就是SP Flash tool的工作模式。不过读取EMMC需要scatter,scatter只能从已开启adb的同型号设备上获取。所以我觉得层主的开发板小爱有用武之地。https://androidmtk.com/create-scatter-file-for-mtk-devices

        回复
        • scatter不是关键,关键在于在刷入之前,soc需要从SP Flash tool加载一个引导程序,这个引导程序负责处理将来自usb的数据写入emmc,目前是不识别SP Flash tool默认提供的引导程序,或者引导程序需要签名,由于MTK不开源,这些都只能是猜测。

          回复

留下评论