diosra2’s blog

iOSの脱獄、ダウングレード

iPhone 5sは脱獄せずにiOS 10.2〜10.3.3にダウングレードできそう。だだし条件が...。

前回の記事以降、何度か試しましたが、できそうだったので詳しく書いてみたいと思います。ただし、条件が厳しいのでほとんどの人はこの方法でダウングレードすることはできないと思います。

 

Nonce衝突バグによるダウングレードはiOS 10.2.1で塞がれたため、これ以降、futurerestoreにはJailbreakが必要となりました。しかし、iPhone 5sではDFU Modeでも同じNonceを何度も生成します。これを利用してiOS 10.2~10.3.3にダウングレードしようというわけです。(実際に、iOS 10.2.1から脱獄なしてiOS 10.2へ復元できました。)

 

注意

現在、これを実行としてもできません。(理由は記事内に記述されています。)

ところどころ、運と総当たりの力技を使います。DFUはROM内にあるので、生成されるNonceのバグはある程度保証されているとは思いますが、Nonceが衝突してくれない可能性もあります。

 

準備 :DFU ModeのNonceを収集する

igetnonceを使用します。デバイスをDFU Modeに入れ、Nonceを取得、強制再起動し、再度DFU Mode...と、DFU Modeをループさせて収集します。

そして、複数回現れたAPNonceのshsh2をあらかじめtsscheckerで保存しておきます。

要するに、現在では不可能です。あらかじめ対象(iOS 10.2-10.3.3)のshsh2を保存していた場合のみ、次のステップに進むことができます。

 

DFUループさせ、Nonceを衝突させる。

先ほど保存したNonceが現れるまで、DFUループさせます。一発で適合したり、30分経ってもでてこないこともあります。ここは力技です。

 

iRecoveryでiBSS/iBECを送信、Recovery Modeに。

衝突したら、デバイスにiBSSを送信、Nonceが適合するとSoft DFU Modeに移行します。続いて、iBECを送信し、Nonceが適合すればRecovery Modeに移行できます。

iBSS/iBECは、img4toolを利用し、APTicketで署名しておく必要があります。

User$ ./img4tool -s {ECID}-iPhone6,1-10.2.shsh -c iBSS.signed.im4p -p iBSS.n51.RELEASE.im4p

User$ ./img4tool -s {ECID}-iPhone6,1-10.2.shsh -c iBEC.signed.im4p -p iBEC.n51.RELEASE.im4p

User$ ./irecovery -f iBSS.signed.im4p

User$ ./irecovery -f iBEC.signed.im4p

 

futurerestoreで復元

あとは今までと同じです。futurerestoreで復元します。

 

32-bitのiOS 9で利用出来るiDeviceReRestoreよりもは相当面倒ですが、64-bitデバイスで復元しまくれるのは非常にありがたいですね。あとは完全脱獄が実現してくれれば...。ですが、難しそうですよね...。

Copyright (C) 2017-2018 Diosra2. All Rights Reserved.