diosra2’s blog

iOSのJailbreak、ダウングレード

iloader

included device-version

iPad3,1-11D257 (by @xerub)

iPad3,3-11D257 (by @xerub)

iPhone3,1-11D257 (by @xerub)

iPhone4,1-11D257 (by @xerub)

iPhone5,2-11B554a (by @xerub)

iPhone5,2-11D257 (by @dora2_yururi)

iPhone5,3-11D201 (by @dora2_yururi)

iPod5,1-11D257 (by @dora2_yururi)

 

thanks @xerub & @b1n4r1b01 !!

LINK

activation_recordからsimロックを確認

activation_record.plistからSIMロックを調べる

1) Terminalを使用してAccountTokenを抽出

UserName$ /usr/libexec/PlistBuddy activation_record.plist

 

Command: Print AccountToken

{

"InternationalMobileEquipmentIdentity" = "0123456789ABCDE";

"CertificateURL" = "https://albert.apple.com/deviceservices/certifyMe";

"ActivationTicket" = "[val]\n";

"PhoneNumberNotificationURL" = "https://albert.apple.com/deviceservices/phoneHome";

"SerialNumber" = "XXXXXXXXXXXX";

"InternationalMobileSubscriberIdentity" = "44010xxxxxxxxxx";

"MobileEquipmentIdentifier" = "0123456789ABCD";

"ProductType" = "iPhone6,1";

"UniqueDeviceID" = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";

"ActivationRandomness" = "FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF";

"ActivityURL" = "https://albert.apple.com/deviceservices/activity";

"IntegratedCircuitCardIdentity" = "89014104278656914506";

}

Command: exit

 

必要なのはActivationTicketの値です。base64でエンコードされているのでデコードします。

UserName$ echo "[val]" > AccountToken_base64

UserName$ base64 --decode < AccountToken_base64 > AccountToken

 

2) Hex Editorで確認

AccountTokenをHex Editorで開き、IMEIの上から7桁(上の場合は"0123456789ABCD")を検索(Hex Search)

IMEIの始点offset + 0x10の地点(周辺)から0x8 byteのHex値がSIMロックのデータ(IMSI Mask)

 

EE EE EE EE EE EE EE EF ならSIMロックフリー

44 01 0E EE EE EE EE EF ならDocomoでSIMロック

*SIMロックがかかっている場合はIMSIのキャリアごとの固定値が指定されています。

 

iOS 12.2以降のA12デバイスでも正常なSHSH2の保存が可能に

0x7ff氏がkpp/ktrr/pac bypassなしで動作するnonce setterをリリースしたことにより、A12ユーザーでもnonceをセットして吐き出すapnonceを調べることが可能になったようです。

これで、tfp0の取得可能なiOS 12.4のshshを有効なgeneratorを含む形で取得できるようになります。

 

方法

iOS 12.4 or 12.2以下である必要があります。

 

1, Chimera v1.3.7をインストール

 

2, アプリを開いてJailbreak (A12を持っていないので、もしかするとこの画面と違うかもしれません。違ってたらすみません。)


※Chimeraはgeneratorがデフォルトでは0xbd34a880be0b53f3に設定されています。ここでは、generator: 0xbd34a880be0b53f3 に対応するapnonceを調べていきます。

 

3, 脱獄したら電源をoffにしてリカバリーモードへ

 

4, igetnonceを使用してapnonceを取得

 

5, 取得したapnonceを指定してtsscheckerでshsh2を取得

User$ ./tsschecker -d [Device] --boardconfig [BOARD] -e [ECID] -i 12.4 -s --apnonce [取得したNONCE]

(*ただし、必ずs0uthwest氏のforkを使用するように。)

 

面倒な方はTSS SaverでもOKです。

【要脱獄】iOS 10以降でICCIDアンロック由来のSIMロック解除を維持する方法

以前、以下の記事でICCIDアンロックデバイスについてactivation_recordを保存することでSIMロック解除を維持する方法を紹介しました。

 

が、iOS 10以降ではこの方法ではアンロックを戻せないようでした。(申し訳ない)

しかし、アクティベーション自体は有効だったので理論上は可能なはず...。いろいろ試行錯誤して維持させる方法を探ってみました。

結論から言うと、できました!!

iPhone 5 & iPhone 5sのiOS 10、iPhone 5sのiOS 12.4で検証しましたが、どちらも正常にアンロックが成功しました。iOS 7からiOS 10以降の形式へアップデートした際のアクティベーションの移行機構を利用してるのでしばらくはこの手法で大丈夫だと思います。ただし、iPhone 6s以降のデバイスはiOS 7を持っていないので、iOS 13以降ではこの機構が消える可能性があります。

 

 *サイドバーにも表示してある通り、これらは全て自己責任です。

 

前提条件

(1) ICCIDアンロック時に取得した、"アンロック済み"activation_record.plistを所持している

activation_recordからsimロックを確認 - diosra2’s blog

(2) root権限

 

*脱獄は自己責任です。 

 

0, 作業前に

まずSIMカードを抜いてください。そしてiTunesが起動しないように落としてください。

 

1, Filza File Manager をインストール (要脱獄)

sandbox外への書き込みが必要です。自己責任でお願いします。

Filza File Managerを使用することで簡単に操作可能です。

ちなみに現在iOS 12.4にすることで脱獄できます。

 

脱獄したくない人はFilza escapedを使ってください。(root権限を取得するのでこれも自己責任でお願いします。)

 

2,  現在のアクティベーション(SIMロック中)の削除

Filzaで"/private/var/containers/Data/System/"へ移動し、以下のディレクトリを削除してください。

このディレクトリにはランダムな乱英数列のディレクトリが幾つか存在していますが、filzaを使用すればどこに何のデータが格納されているかがわかります。

ここから、"com.apple.mobileactivationd"を見つけ、ディレクトリごと削除してください。

 

続いて、"/private/var/root/Library/Lockdown"へ移動し、内のデータを全削除してください。(弊害として、おそらくiTunesとの接続履歴などが消えてしまいます。)

 

最後に、(念のため、)"/private/var/mobile/Library/mad"をディレクトリごと削除してください。

 

3, アクティベーション(アンロック)を書きもどす

保存しておいたactivation_record.plistを用意してください。

まず、"/private/var/root/Library/Lockdown"内に"activation_records"ディレクトリを作成します。

その次に、"activation_records"ディレクトリ内に保存しておいた(アンロック済みの) activation_record.plistを入れてください。

最後にrebootします。(まだアンロックは完了していません。SIMカードは挿さないように。)

 

4, アンロック成功

再起動したらSIMカードを挿してみてください。

アンロックが成功していれば、SIMロックされていたキャリア以外のSIMカードが利用可能になります。(もちろん下駄は不要です。)

もし再起動後、ロックキャリアのSIMカードを挿した際にactivation要求された場合は使用したチケットが無効です。(この場合はアンロック不可)

 

A7デバイス使用者は以下の方法でSHSHを取得することで永久脱獄。

アップロードするのを忘れてたらiOS 12.4.1が出てきてしまいました...。

A7デバイスを保有するユーザーは以下のスクリプトを使用してiOS 12.4のshshを取得することで、iOS 12.4の署名終了後も永続的にiOS 12.4に復元可能 (=脱獄可能)になります。

 

 

必要な環境

macOS 10.13 以降

 

使い方

shshの取得

A7デバイスを1台のみDFU modeでUSB接続し、"./get.sh"を実行

SHSHを50個以上取得するので2~3分かかります。

 

(例) iPhone 5s (GSM)の場合

./get.sh iPhone6,1 n51ap

他のデバイスはこちらを参照してください。デバイス名表示一覧 - diosra2’s blog

 

復元の方法

A7デバイスを1台のみDFU modeでUSB接続し、"./recovery.sh"を実行

 

(例) iPhone 5s (GSM)の場合

./recovery.sh iPhone6,1 n51ap

 

デバイスの画面が紫になったら成功です。ならなかったら2~5回程度やり直してみてください。

"Ticket that your device uses for futurerestore."のメッセージの下に表示されたshsh2がfuturerestoreで使用できるshshです。

ここまできたら、上記shsh2とiOS 12.4.1のBBとSEPを使用して、通常通りiOS 12.4にfuturerestoreできます。

 

./futurerestore  -t {Ticket}  --latest-baseband  --latest-sep  [iOS 12.4のIPSW]

 


Copyright (C) 2017-2018 Diosra2. All Rights Reserved.