diosra2’s blog

iOSのJailbreak、ダウングレード

iOS 9.3.5のアクティベーションを完全に回避してみた。

iOS 9.3.5脱獄ツールの調整中に思ったんですが、アクティベーションって時間かかるし面倒なんですよね。ネットワークに接続しないといけないですし。

最近ですと、iPhone 4s以降はSIM入れなくてもアクティベーションしてくれますが、完全にbypassしたいな...。と思い立ちました。

ということでiPhone 5をiOS 9.3.5に復元する際に行ったアクティベーション回避の手順を記しておこうと思います。

*注意

この記事の内容は盗まれたデバイスを使用するなどの不正行為を助長するものではありません。また、それを行うことは出来ません。(なぜならこの方法はAppleの素晴らしい復元認証システムにより塞がれているからです。)

これはアクティベーションロックを突破するためのものではなく、アクティベーションを突破するためのものです。(アクティベーションロックもbypass可能ですが...。)読み物だと思ってみてください。

これらの内容は盗品デバイスのiCloudのアクティベーションロックを突破させるための意図はありません。

はじめに

まず、iOS 7.0.4のSHSHのあるデバイスをiOS 10.3.3で通常通りアクティベート。(ここは飛ばせません。したがって既にロックのかかっているものはbypassできません。)

次に、kloaderを使用して以下のツールで作成したCFWで復元します。これはiBoot exploitを発動させるので未署名コードが実行可能です。したがってブートローダーレベルでの完全脱獄です。

github.com

このまま復元すると普通にアクティベート要求されるので、CFWを弄っていきます。

アクティベーションシステム

iOS 9.3.5にはアクティベーションステータスが以下の3つ存在します。

*Unactivated

*Activated

*FactoryActivated

一番上のUnactivatedは未アクティベーと状態、したがってアクティベートされていない時のステータスです。デバイスではアクティベート要求画面、iTunesに接続してもアクティベートを求められます。

Activatedはアクティベート後のステータスです。このモードでは通常通りに使用できます。

FactoryActivatedは工場用のオプションです。おそらくPurpleFATあたりでアクティベーションしているのかなと。通常ではこのモードはあり得ません。このモードでは通常通りに使用でき、iTunesに接続しても通常通り動きます。

また、そのほかにBrickStateというものが用意されていて、初期状態ではTrue、アクティベートをかけるとFalseにステータスが変化します。

Unactivated状態ではBrickState=Trueとなっていて、iOSデバイス側ではSetup.app(初期設定画面)が起動してアクティベーションを試みます。

アクティベーション時にはBrickStateがFalseに書き換えられ、SpringBoard.app(ホーム画面)にアクセス可能になります。

以上の2点をまとめると、アクティベーションステータスをActivatedまたはFactoryActivatedに設定し、BrickState=Falseにすれば完全に通常通り使えることになります。

後者は少し古いですが、SubscriberArtificialModule(SAM)のSAMDeBrickで実際に実装されました。

方法

どうすればいいのか。ですが、基本これらの情報はlockdowndが吐き出すのでこの吐き出す値を弄ってやればOKです。

詳しく書いて悪用されるのは防ぎたいので詳しくは書きませんが、私はlockdowndに渡される情報を書き換え、常に FactoryActivatedに設定され、BrickStateも必ずFalseを返すように改変することで回避を達成しました。

f:id:diosra2:20190214024303j:plain

まとめ

iOS 9.3では2つのステータスの改変によってデバイスをアクティブ化できる。

Appleを通さないので、どんなデバイスでも必ず使用可能。

*ただし、最初のステップでアクティベーションが必要。

完全脱獄が必要。

今回使用した脱獄はブートローダーレベルでの完全脱獄ですので問題なしですが、脱獄によってはデーモンの起動順序が重要になります。必ず脱獄状態(カーネルパッチされて未署名コードが実行可能な状態)の後に実行してあげる必要性があります。

Q: 実用性は?

A: ないです。(悲しい)

iPhone 3GをiPhoneOS 2.xに復元する。

iPhoneといえば通常はダウングレードはできませんね。

でもそれはiPhone 3GS以降のお話。iPhone 3G時代にはSHSHの考えはなく、iOS 4未満であれば自由にダウングレードすることができます。

*iOS 4からsoftware SHSHが導入されましたが、そもそもSecureROM側に認証機能が備わっていないので、その認証がない4.x未満のダウングレードは自由ということになります。

 

ということで、実際にMacでiTunse (v12.7.5)を使用し3Gの初期バージョンであるiPhoneOS 2.0へ復元を試みました。

続きを読む

unc0verのベータ版、v3.0.0~b20がリリース。iOS 11.4.1脱獄にA7/A8デバイスのサポートが追加。

unc0verのPre-Release版、v3.0.0~b20がリリースされ、A7~A8デバイスでもiOS 11.4.1の脱獄が可能となりました。

まだ正式(Release版)ではないので注意してください。

続きを読む

s0meiyoshinoをv3.2にアップデート。条件付きiPhone 5でiOS 9.3.5の完全脱獄を追加しました。

s0meiyoshinoを3.2にアップデートし、条件を満たすiPhone 5用にSHSHなしでのiOS 8.0.2、9.0.2、9.3.5へのダウングレードと9.3.5の完全脱獄を追加しました。

続きを読む

iOS 12.1.1/12.1.2の署名が停止

1時間前にiOS 12.1.1/12.1.2(iPhoneのみ)のSHSH(署名)が打ち切られました。これにより復元可能なバージョンはiOS 12.1.3のみとなります。

A7デバイスは引き続きiOS 12.1.3 SEP/BBでiOS 11.3-12.1.2へ復元可能です。

今回はかなり長かったので12.1.2へ準備できた方は多かったのではないでしょうか?16kデバイスはexploitも良い感じに動くようですし、近々脱獄出来るようになるかもしれませんね。(まだ超えなければならない壁がいくつかありますが)

Copyright (C) 2017-2018 Diosra2. All Rights Reserved.