Найти в Дзене
Статьи
Прикупил себе Sberbox Time. Не ради использования, а для издевательств над ним. Взял витринный образец со скидкой - все-равно разбирать. Первое впечатление - качество хуже самой первой Яндекс Станции. Дешевые материалы корпуса, какие-то приклеенные картонные радиаторы. Блок питания - свистит как соловей. Про сравнению с Мини 3 про - полный отстой. Вердикт: китайский дешман. Из плюсов - ADB включается из коробки через веб сайт. Также ADB по USB включен сразу на заводской прошивке до добавления в умный дом Сбера. Из минусов - пароль на USB тоже установлен на заводе. И вывод Linux на экран также заблокирован. И тоже есть rabbit hole, но реализован не так как у Яндекс. P.S. Получение прав root заняло всего 5 дней - после некоторых неочевидных модификаций, подошел старый эксплоит 2022 года. Но не тот, который я использую на Яндекс ТВ Станции. Работает, правда, нестабильно - но я все-равно попробую сдать в баг баунти Сбер девайсез. Разборка и пайка не потребовалась.
1 неделю назад
Включаем ADB на Яндекс мини 3 про, часть 4 - запуск ADB и root на UART
В прошлой статье я написал, как вносить изменения в сдампленный образ NAND, пересчитать ECC (в тех местах где требуется) и записать назад. Включение ADB на устройствах Яндекса (кроме ТВ и устройств с HDMI) происходит скриптом /system/vendor/quasar/activate_adb.sh, который с помощью вспомогательного скрипта adb_options.inc проверяет наличие одного из файлов /data/quasar_activate_adb_* для включения ADB, и файла /data/quasar_activate_network_adb для активации доступа к ADB по сети (иначе будет только по USB)...
1 неделю назад
Включаем ADB на Яндекс мини 3 про, часть 3 - делаем silent=0
В предыдущих двух статьях я описал процесс пайки и привел немного теории о содержимом NAND памяти. В этой части опишу как внести изменения в образ прошивки и подготовить его к записи на микросхему. Примеры привожу для Мини 3 про, но аналогичный способ должен работать и на других устройствах от Яндекс, имеющих NAND (для устройств с EMMC подойдет только раздел 4). 1. Читаем дамп программатором Внимание: я настоятельно рекомендую делать дамп прошивки устройства либо непосредственно после покупки (ни разу не включая его), либо сразу после сброса до заводских настроек...
1 неделю назад
Включаем ADB на Яндекс мини 3 про, часть 2 - [не]много теории
Владельцам программатора UFPI мои самодельные утилиты бесполезны чуть менее чем полностью. Для остальных - примеры их использования будут в третьей части. А здесь я напишу немного теории и в конце оставлю короткое описание параметров и ссылки на исходные тексты утилит. Напомню несколько отличий NAND памяти от привычных нам блочных устройств: 1. Запись в NAND производится путем сброса значения битов из единичного значения в нулевое. Например, если ячейка памяти содержала двоичное значение 11111111b, в нее записали 01011010b, то в памяти останется значение 01011010b...
2 недели назад
Включаем ADB на Яндекс мини 3 про, часть 1 - пайка
В прошлой статье я описал неудачную попытку модификации прошивки станции мини 3 про путем запаивания SD кард ридера. В телеграмме в группе, посвященной ремонту Яндекс станций, подсказали припаять каретку для быстрого извлечения NAND: на Алиэкспресс это называется "тестовый адаптер TSSOP48" Но есть нюанс, который видно на фото: Квадратная микросхема находится чересчур близко к левому краю выпаянной NAND, из-за чего на это место невозможно установить 24-пиновый FFC/FPC разъём. К счастью, первые 6...
3 недели назад
Обход Secure Boot на Яндекс IP камере
Публикация данной статьи была отложена, так как информация была передана в Яндекс Вug Bounty. На момент публикации наверняка в прошивку внесены изменения, так что я рекомендую описанный ниже метод использовать на свежеприобретенном устройстве не выпуская его в Internet для обновления. После расшифровки u-boot я решил посмотреть на процесс его загрузки, чтобы найти возможность запуска своего кода. В отличие от других устройств Яндекса в камере отсутствует запуск скриптов с USB/SD карты в режиме восстановления...
1 месяц назад
Яндекс мини 3 про и неудачная попытка переделки на загрузку с SD карты
Оставлю здесь описание своей неудачной попытки доработки Яндекс мини 3 про для удобства изменения его прошивки. Попытка была в отработке идеи переделать устройство на загрузку с SD карты, которую можно легко извлечь, чтобы перепрошить - на ряде других устройств это удавалось сделать. Но из-за особенностей собранного Яндексом u-boot, который настроен загружать ядро операционной системы только с NAND, какой-либо пользы, кроме дополнительного опыта, этот эксперимент не дал. В отличие от следующей, более удачной, попытки, которую опишу в другой раз...
1 месяц назад
Яндекс IP камера: Enter to be root
Публикация данной статьи была отложена, так как информация была передана в Яндекс Вug Bounty. На момент публикации в прошивку внесены изменения, так что я рекомендую описанный ниже метод использовать на свежеприобретенном устройстве не выпуская его в Internet для обновления. В конце июня я приобрел Яндекс IP камеру не для видео наблюдения, а просто поиграться. Новое устройство, новая архитектура, очень ограниченные физические размеры и ресурсы, два моторчика - во мне проснулся ребёнок и захотелось ее поломать...
2 месяца назад
Читы в Heroes of Might and Magic: Olden Era (demo steam)
10 октября в Steam вышла демо версия Heroes of Might and Magic: Olden Era. В ней более не работает включение читов путем набора "unfrozen" в главном меню. Причина простая - в этой версии из hex.dll полностью выпилили код обработки нажатия на клавиши: Однако, с помощью утилиты dnSpy можно вернуть код, включающий читы по аналогии с прошлой утекшей в сеть версией...
144 читали · 2 месяца назад
Откуда в ARM процессоре взялось ядро RISC-V?
Ковыряясь с Яндекс ТВ Станцией я почему-то игнорировал строки лога про AOCPU: В определенный момент в голове созрела мысль - а вдруг там есть что-то полезное? Решил поковырять, что же это такое, так что опишу здесь найденную информацию, просто чтобы не забылось. Спойлер: секреты RSA/AES через AOCPU выдернуть не получится, но я все-равно не считаю время ковыряния потраченным зря - может этот опыт выстрелит в будущем. AOCPU расшифровывается как Always On CPU - энергоэффективное процессорное ядро (или сопроцессор), работающее, когда основной процессор спит...
4 месяца назад
Как нас подслушивают умные колонки
Всё, что написано ниже, является моим вымыслом и не несёт никакого смысла. Любые совпадения с существующими организациями или устройствами случайны. Предположим, что есть известная и уважаемая компания «ИИ.Избушка», производящая умные телевизоры, HDMI-свистки и умные колонки с выводом изображения на ТВ. Компания дорожит своей репутацией и заботится о конфиденциальности клиентов, регулярно публикуя части схем своих устройств, отвечающие за взаимодействие с микрофоном. И эти схемы действительно показывают, что нажатие на кнопку "оглохни" аппаратно отключает микрофон, зажигает красную лампочку, тем самым исключая возможное прослушивание Товарищем Майором, с которым компания активно сотрудничает...
4 месяца назад
Портировал на Яндекс Станцию Макс известный эксплоит Raxone/Blasty, предоставляющий доступ на чтение/запись в область памяти, относящуюся к EL3: github.com/...oit Эксплоит работает через загрузку своего драйвера ядра - как получить права root на Максе я писал ранее. Также на его основе сделал свои утилиты по дампу недоступной оригинальному драйверу памяти - github.com/...mod Утилиты модифицируют таблицу страниц Secure режима для получения доступа к нужному физическому адресу.
161 читали · 4 месяца назад