Найти в Дзене
Статьи
Загрузка неподписанного device tree на Яндекс мини 3 про
Это отложенная статья, так как информация передана в Яндекс Вug Bounty. Описанный ниже способ может работать не только на мини 3 про (процессор Amlogic A4, он же A113L2), но и на других устройствах с этой и некоторыми предыдущими моделями процессоров Amlogic. Пример эксплуатации будет в конце статьи. Устройства Amlogic в качестве одного, из цепочки, загрузчиков используют модифицированный u-boot. В современных ритейл устройствах по умолчанию включен Secure Boot, препятствующий запуску неавторизованного кода, а загрузка своего DTB позволяет частично снизить эффективность данного запрета...
3 недели назад
Обход Rabbit Hole и Secure Boot на Яндекс мини 3 про
Это отложенная статья, так как информация передана в Яндекс Вug Bounty. Как я писал ранее, в Мини 3 про Яндекс хорошо подкрутил вопросы безопасности. В частности, запрещено изменять значения любых переменных u-boot environment кроме indication_brightness и silent: Изменения других переменных правкой их значений в разделе ENV не приводят к какому-либо результату. Однако, так было не всегда. Заводской u-boot защиты не содержит и вполне успешно загружает значения отредактированных переменных раздела ENV...
1 месяц назад
Инъекция своих параметров в строку загрузки ядра (Яндекс/Amlogic)
Это отложенная статья, так как информация передана в Яндекс Вug Bounty. В станции Яндекс Мини 3 Про неплохо подкрутили вопросы безопасности - используется цепочка Secure Boot (правда, всё еще с возможностью ее обхода), u-boot в случае ошибок более не запускает скрипты и не пытается восстановить прошивку с USB устройства, а переменные в ENV устанавливаются только по "белому списку". Или не только по нему? Мое внимание привлекла следующая конструкция в ENV разделе: Здесь переменные deviceid, localization,...
139 читали · 1 месяц назад
Оказывается, старым способом загрузки прошивок Яндекса, можно получить прошивки не только для устройств Умного Дома, но и для автомагнитолы Яндекс Авто. Пример ссылки: https://quasar.yandex.ru/check_updates?device_id=1234567890&platform=yap_vaz_evo&version= Скачанный файл обновления можно разобрать скриптом payload dumper. VAZ EVO это, похоже, Лада Веста. А YAP - возможно остатки от YAndex Phone? В любом случае будет интересно поковыряться в APK файлах.
2 месяца назад
Официальный способ установки сторонних приложений на устройства Яндекса
Оказывается, уже как минимум пару месяцев Яндекс разрешает установить до 10 приложений на свою Яндекс Станцию Макс, Яндекс Модуль (оба поколения), Яндекс ТВ Станцию и Яндекс Дуо через портал разработки. Подробная инструкция написана тут: https://dzen.ru/a/aQnQQMeD1Tf7CtBZ Ниже просто опишу свои мысли. Всего Яндекс поддерживает три типа приложений: Если посмотреть html код стартовой страницы портала разработки, то виден конфиг текущего аккаунта: Я выделил интересные параметры. Их значения можно изменить в консоли разработчика Google Chrome, введя: window...
2076 читали · 4 месяца назад
Прикупил себе Sberbox Time. Не ради использования, а для издевательств над ним. Взял витринный образец со скидкой - все-равно разбирать. Первое впечатление - качество хуже самой первой Яндекс Станции. Дешевые материалы корпуса, какие-то приклеенные картонные радиаторы. Блок питания - свистит как соловей. Про сравнению с Мини 3 про - полный отстой. Вердикт: китайский дешман. Из плюсов - ADB включается из коробки через веб сайт. Также ADB по USB включен сразу на заводской прошивке до добавления в умный дом Сбера. Из минусов - пароль на USB тоже установлен на заводе. И вывод Linux на экран также заблокирован. И тоже есть rabbit hole, но реализован не так как у Яндекс. P.S. Получение прав root заняло всего 5 дней - после некоторых неочевидных модификаций, подошел старый эксплоит 2022 года. Но не тот, который я использую на Яндекс ТВ Станции. Работает, правда, нестабильно - но я все-равно попробую сдать в баг баунти Сбер девайсез. Разборка и пайка не потребовалась.
167 читали · 4 месяца назад
Включаем ADB на Яндекс мини 3 про, часть 4 - запуск ADB и root на UART
В прошлой статье я написал, как вносить изменения в сдампленный образ NAND, пересчитать ECC (в тех местах где требуется) и записать назад. Включение ADB на устройствах Яндекса (кроме ТВ и устройств с HDMI) происходит скриптом /system/vendor/quasar/activate_adb.sh, который с помощью вспомогательного скрипта adb_options.inc проверяет наличие одного из файлов /data/quasar_activate_adb_* для включения ADB, и файла /data/quasar_activate_network_adb для активации доступа к ADB по сети (иначе будет только по USB)...
262 читали · 4 месяца назад
Включаем ADB на Яндекс мини 3 про, часть 3 - делаем silent=0
В предыдущих двух статьях я описал процесс пайки и привел немного теории о содержимом NAND памяти. В этой части опишу как внести изменения в образ прошивки и подготовить его к записи на микросхему. Примеры привожу для Мини 3 про, но аналогичный способ должен работать и на других устройствах от Яндекс, имеющих NAND (для устройств с EMMC подойдет только раздел 4). 1. Читаем дамп программатором Внимание: я настоятельно рекомендую делать дамп прошивки устройства либо непосредственно после покупки (ни разу не включая его), либо сразу после сброса до заводских настроек...
206 читали · 4 месяца назад
Включаем ADB на Яндекс мини 3 про, часть 2 - [не]много теории
Владельцам программатора UFPI мои самодельные утилиты бесполезны чуть менее чем полностью. Для остальных - примеры их использования будут в третьей части. А здесь я напишу немного теории и в конце оставлю короткое описание параметров и ссылки на исходные тексты утилит. Напомню несколько отличий NAND памяти от привычных нам блочных устройств: 1. Запись в NAND производится путем сброса значения битов из единичного значения в нулевое. Например, если ячейка памяти содержала двоичное значение 11111111b, в нее записали 01011010b, то в памяти останется значение 01011010b...
160 читали · 5 месяцев назад
Включаем ADB на Яндекс мини 3 про, часть 1 - пайка
В прошлой статье я описал неудачную попытку модификации прошивки станции мини 3 про путем запаивания SD кард ридера. В телеграмме в группе, посвященной ремонту Яндекс станций, подсказали припаять каретку для быстрого извлечения NAND: на Алиэкспресс это называется "тестовый адаптер TSSOP48" Но есть нюанс, который видно на фото: Квадратная микросхема находится чересчур близко к левому краю выпаянной NAND, из-за чего на это место невозможно установить 24-пиновый FFC/FPC разъём. К счастью, первые 6...
336 читали · 5 месяцев назад
Обход Secure Boot на Яндекс IP камере
Публикация данной статьи была отложена, так как информация была передана в Яндекс Вug Bounty. На момент публикации наверняка в прошивку внесены изменения, так что я рекомендую описанный ниже метод использовать на свежеприобретенном устройстве не выпуская его в Internet для обновления. После расшифровки u-boot я решил посмотреть на процесс его загрузки, чтобы найти возможность запуска своего кода. В отличие от других устройств Яндекса в камере отсутствует запуск скриптов с USB/SD карты в режиме восстановления...
5 месяцев назад
Яндекс мини 3 про и неудачная попытка переделки на загрузку с SD карты
Оставлю здесь описание своей неудачной попытки доработки Яндекс мини 3 про для удобства изменения его прошивки. Попытка была в отработке идеи переделать устройство на загрузку с SD карты, которую можно легко извлечь, чтобы перепрошить - на ряде других устройств это удавалось сделать. Но из-за особенностей собранного Яндексом u-boot, который настроен загружать ядро операционной системы только с NAND, какой-либо пользы, кроме дополнительного опыта, этот эксперимент не дал. В отличие от следующей, более удачной, попытки, которую опишу в другой раз...
161 читали · 5 месяцев назад