西窗浪人暂时还咩有破解成功,公布行不通的路和将要尝试的路
最近买了台车,但是对车机很恼火,因为装不了第三方应用。
车机的系统是安卓7.1的,硬件也是烂大街的配置,但是系统安全方面做的很好。
尝试一:假设车机打开了adb,尝试对其端口扫描,扫出adb端口或者其他服务端口
结论:没有开启adb,也没有任何服务监听端口,水桶机
尝试二:本还以为只是我发现的入口,但是也有网友发现了,见帖子https://tieba.baidu.com/p/7751675087。
此方法是官方留下的后门,需要密码,尝试简易密码无果,本想截取系统升级包进行解包分析,看下密码,但是本人的车机一直是最新版本系统,无法使用此方法,有机会的网友可以提供给我离线升级包。
方法三:此方法还未尝试,原理是车机的微信应用会检查自身版本是否最新然后进行升级,可以做一个伪服务端,再进行DNS劫持,让微信安装其他应用如“悟空遥控”等来进行下一步破解。
问题:此前曾想截取系统升级的请求,但是发现所有请求都是https的,且车机无法安装自签名证书,分析不出具体的请求内容,映像中微信自更新也是https流量,感觉劫持不一定通的过,有待验证。
抓包证实为http流量:请求地址为:http://dldir1.qq.com/weixin/android/car/wxcrSgns.xml
请求返回为:
<wxcrconfig>
<update>
<channelId>Not-Exist</channelId>
<targetVersion>21000D00</targetVersion>
<url> http://dldir1.qq.com/weixin/android/car/wechat-v1.0.13.0.2472-release-202111232123.apk </url>
<md5>41d10f3b5fe6e870a0486b794eb434b7</md5>
<desc>Not exist channeIld, up to CDN</desc>
<silent>true</silent>
</update>
</wxcrconfig>
有时间再写个伪服务端,目前看来通过微信车机版自升级漏洞可行。
最新:一条代码关闭APP白名单配置,任意安装APP,USB升级底包下载
以上针对改装和配件店的商家,暂定资料包RMB5000,有兴趣右下角QQ联系。
离线升级包:
破解进度怎么样了,十分关心,这A导航太难用了
B导航倒是有人解决了软件安装的问题
打开了adb,安装软件有白名单,adb无法获取临时root权限,一输入adb root就断开链接,打开adb远程端口无法链接。。。。。覆盖升级安装 高德地图提示未激活,
本人不加QQ,你有什么想法直接留言就是
目前情况是,所有可以通过工程模式在车上他的usb口通过adb连接进去的所有提权操作都操作不了,临时root无法获取,通过更改软件包名安装的carlife可以连接安卓手机,但是无声。
通过替换升级的高德地图会未激活,安装共存版也是未激活。进入原生桌面打开原生设置没有oem锁设置,进入不了fastboot
carlife肯定用不了吧,要有framework支持的,只有app怎么行,那是百度的东西。
这个车机的语音底层是腾讯叮当https://dingdang.qq.com,车机系统由腾讯车联开发https://tas.qq.com,跟广汽没有半毛钱关系,BL是锁死的,所有正式版安卓系统都没有adb root,高德的未激活要看一下是系统提示还是高德提示,然后逆向一下看怎么激活
已经解决了挂盒子无线carplay的问题了,我的id在懂车帝有发视频。提示是高德提示,目前无线carplay的问题是声音通道不能走盒子通道,否则没有声音,要连接车机蓝牙通道。你说那个carlife其实也可以通过安卓手机连接车机蓝牙来输出音频解决,因为后面我已经解决了。目前正在尝试拿root
哦哦,厉害
我实现的方式是找未加固不做签名校验的apk包,卸载车机原有apk包来进行安装。现在是替换掉了无用的车载微信,保留腾讯车机地图让腾讯我的车小程序重新完整功能,只要能装apk都可以用,不过声音输出问题可能是因为车机声音通道不同,必须apk指定对应声音通道,当然这只是我的想法,因为尝试过替换其他版本的爱趣听,可以联网,但是一点播放音乐就播放不了直接跳下一首这样无限循环
所以,估计硬解改emmc内容拿了root再制作升级包了
没用过emmc烧录器,不明觉厉
就是米皮编程器,因为我看星途xl论坛的一个人拿这个编程器提取数据修改之后再重新烧录拿完整root,然后制作直接Update.zip的升级包可以直接走车机系统刷进去。
现在就是尝试root权限失败,忘记看系统内核是4.9,cve-2019-2215用不了
cve-2020-0041不会用
https://github.com/bluefrostsecurity/CVE-2020-0041
自己编译下,我感觉安卓7.1可能没有这个漏洞
编译过了,执行不了,这个user版本的权限太低了,估计也只能硬改了,无奈手头没有工具,没有环境。
你root打算干啥,没有官方包到时候有问题还不了原,我用你的方法连接usb识别不了adb,还是得adb wifi
越过安装白名单,看看第三方app有没有声音,,因为替换安装的app哪怕可以调声音通道也是没有声音
进adb要密码进工程模式,打开adb on才可以连接。
他的default.porp没有写adb远程连接的参数,所以是不可以远程连接的
开关之前好像就开了,难道是线不行。你settings.apk,service.jar这些拖出来吧,逆向分析一下可能就可以关闭白名单模式或者增加白名单了
已经反编译看过了,没有关闭白名单的地方啊。。进了原生桌面也没有关闭白名单的地方,好像他是在packmanager.apk这个程序里控制的,不root替换掉这个是去不掉的
白名单程序貌似在在service.jar里
很感兴趣,但有几点不明:1解除白名单后能否卸载预装应用并替换(例如高德),语音控制是否正常;2解除白名单后通过何种方式管理软件;3是否提供进入工程模式的方法;4对车友是否有优惠?
又研究了好久,投降了
老哥能不能提供下关闭白名单配置,任意安装app的方法。。。
老哥现在啥进度了,能用carlife 或者 hicar一类的了么
大佬,怎么去除白名单限制?
@hzzzzzz 安装carlife 还要购买什么硬件设备吗,还是直接可以连接?
大佬,用降级包屏幕失灵了,点不了确定,求个解决办法
安装软件可以改包名安装,目前在用小米的carwith(carlife通道)还挺好用,就是每次都要点4下usb授权,太麻烦了
问一下,我现在已经找到ver和prg文件的校验算法了,但是在重启进rec后,还是会报错误码,改boot.img报0001114,改system.img报000314,估计是rec还有一层校验,大神能给指点下吗
你上个图床吧,prg校验你指的是CRC吗
是第一步刷机文件里的*.ver和*.rpg文件头的校验,但是重启进rec里还有一层校验,如图https://www.123pan.com/s/g3m7Vv-hFH43.html
你这个是没过校验,校验算法是老机型的,根本不是一回事
能力有限,大佬能给指点下白名单的思路吗
没有
第一步的校验算法:https://blog.csdn.net/weixin_47523436/article/details/140737650