Det er nå enkelt å omgå MediaTeks SP Flash Tool-autentisering

MiscellaneaNov 07, 2023

En gruppe utviklere har laget et Python-verktøy for å omgå autentiseringsrutinen til MediaTek SP Flash Tool. Sjekk det ut nå!

Enheter med MediaTek-brikkesett har et BROM (boot read-only memory), som vanligvis laster forhåndslasteren kjørbar og starter deretter Android-systemet, men inneholder også en alternativ oppstartsmodus kjent som Nedlastingsmodus. Den er strengt ment for OEM-service og kan brukes til å løsne en enhet, akkurat som Qualcomms nødnedlastingsmodus (EDL). Et MediaTek-laget proprietært program kalt "SP Flash Tool" kan bruke dette grensesnittet til å tvinge systemprogramvaren på en enhet. Siden nedlastingsmodusen på lavt nivå effektivt har full kontroll over enhetens lagring, har mange OEM-er inkludert Xiaomi og Realme begynte å tilsløre blinkingsprosessen. På grunn av denne praksisen kan fastvare som blinker via nedlastingsmodus bare utføres av et signert "Download Agent"-program som er autorisert av den tilsvarende OEM, noe som i hovedsak betyr at du kan ikke flashe eller fjerne mursteinen på din egen smarttelefon med mindre du har tillatelse fra enhetsprodusenten til å gjøre det

.

Vel, XDAs fantastiske utviklerfellesskap har igjen kommet til unnsetning. Basert på en oppstarts-ROM-utnyttelse opprinnelig oppdaget av XDA Senior Member xyz`, utviklere Dinolek og k4y0z har kommet opp med en generisk bypass-metode, som er kompatibel med et bredt utvalg av MediaTek-drevne enheter som ellers ville kreve autentisering mens de blinker. Metoden, som gjør bruk av SoC-spesifikke utnyttelsesnyttelaster, avskjærer pre-flash-spørringene laget av SP Flash Tool og setter kraftig inn verdiene til to avgjørende parametere ("Serial Link Authentication" og "Last ned Agent Authentication") som falsk for å fortsette blinkingsprosessen uten noen form for autorisasjon.

Det er viktig å merke seg at utnyttelsesnyttelastene krever en spesialtilpasset USB-driver for en vellykket avlytting. Hvis du kjører Windows, må du installere en libusb-basert filterdriver for å overstyre standard driversett. Linux-brukere, derimot, må bruk en spesifikk oppdatering til kjernen. I tilfelle du ikke vil berøre det primære operativsystemet ditt, kan du benytte deg av FireISO – en oppstartbar GNU/Linux ISO designet spesielt for dette formålet.

Når det gjelder tilgang til MediaTek-nedlastingsmodus, trenger du bare å slå av målenheten, holde nede volum opp-knappen (volum ned for Xiaomi-telefoner) og koble telefonen til PC-en. Du bør se en ny seriell enhet oppført under Enhetsbehandling (Windows) eller i utdataene til dmesg | grep usb (Linux).

På dette tidspunktet følger du denne enkle 5-trinns prosessen for å deaktivere bootrom-beskyttelse:

  1. Last ned og installer Python. Windows-brukere bør velge "Legg til Python X.X til PATH" når du blir bedt om det.
  2. Installer de nødvendige avhengighetene ved hjelp av pip:
    pip install pyusb pyserial json5
  3. Last ned bypass-verktøyet.
  4. Pakk ut arkivet, kjør verktøyet og koble til telefonen i MediaTek-nedlastingsmodus. Du bør få "Beskyttelse deaktivert" på slutten av loggen.
    • Windows:
      pythonmain.py
    • Linux:
      ./main.py
  5. Etter det, uten å koble fra telefonen, kjør SP Flash Tool i UART-tilkoblingsmodus.

Og det er det! Autentiseringsrutinen omgås, og du er nå klar til å flashe/oppløse telefonen. Hvis noen mer erfarne ønsker å ta dette et skritt videre, kan de flashe en modifisert partisjonssikkerhetskopi til reparere en feil IMEI, men dette er utenfor rammen av denne artikkelen.

Listen over SoCer som for øyeblikket støttes finner du nedenfor. Bypass-metoden er teoretisert til å fungere på samme måte på andre MediaTek-brikkesett, men noen må kode en passende nyttelast først for å deaktivere bootrom-beskyttelsesrutinen.

Liste over støttede SoCs

  • mt6261
  • mt6572
  • mt6580
  • mt6582
  • mt6735
  • mt6737
  • mt6739
  • mt6755
  • mt6757
  • mt6761
  • mt6763
  • mt6765
  • mt6768
  • mt6771
  • mt6785
  • mt6799
  • mt6873
  • mt8127
  • mt8163
  • mt8173
  • mt8695

Les mer

Konklusjon

Hvis du husker, ble MediaTek-brikkesett tidligere funnet å være mottakelig for et farlig rootkit for nesten et år siden, og det ble aktivt utnyttet av hackere for å få root-tilgang. Tatt i betraktning, er det ukjent hvorfor det taiwanske brikkedesignselskapet fortsatt ikke har rettet feilen i brikkesettene som gjør det mulig å beseire tillitskjeden mens den blinker. Selv om vi bare har sett den gode siden av situasjonen, er den enda verre fra et sikkerhetsperspektiv når du vurderer de hundrevis av mindre kjente enhetsmodellene som bruker disse MediaTek-brikkene.

Det er et annet aspekt av situasjonen fra synspunktet til tilpasset utviklingsfellesskap, hvis interesser vi representerer. Et flertall av MediaTek-enheter befinner seg i en uholdbar kombinasjon av lett å bygge og vanskelig å gjenopplive. På toppen av det, begrenser kravet om tvangsautorisasjon virkelig potensialet for ettermarkedsutvikling på dem. Bypass-metoden er ikke annet enn et glimt av håp for MediaTek-enhetseiere, som bare ønsker å ta bryet knyttet til å løsne seg fra modding-scenen.

De som er interessert i å utforske kodebasen til bypass-metoden bør ta en titt på GitHub-lenken nedenfor. Du kan også samhandle med utviklerne ved å besøke diskusjonstråd.

MediaTek SP Flash Tool Authentication Bypass GitHub Repo