Найти в Дзене
Статьи
Купленная в 2021 году Станция Макс YNDX-0008 после 5 лет использования подустала - выгорел экран, микрофоны оглохли, да и просто физически стала грязной от многолетней пыли. Заменил ее на 00053 производства октября 2025 года. Что радует - дыры в VLC остались (хотя приложение недавно пересобрали), а это позволяет установить любой файловый менеджер, после чего элементарным образом включается ADB и при желании можно получить root.
1 месяц назад
Арабская Яндекс Станция Макс
Давненько я не брал в руки шашек Станцию Макс. Решил обновить на ней прошивку, заодно посмотреть в дампе что добавилось нового. И обнаружил в скриптах u-boot строки: if test ${localization} = SA.AR; then setenv board_defined_bootup mena_bootup; fi; Параметр localization хранится в unifykeys и доступен на изменение при наличии root. Устанавливаю SA.AR, перезагружаю, и на экране вместо привычного логотипа Алисы меня встречает логотип Yango Play: После загрузки видна смена локали на иностранную: и на этом всё...
1 месяц назад
Загрузка неподписанного device tree на Яндекс мини 3 про
Это отложенная статья, так как информация передана в Яндекс Вug Bounty. Описанный ниже способ может работать не только на мини 3 про (процессор Amlogic A4, он же A113L2), но и на других устройствах с этой и некоторыми предыдущими моделями процессоров Amlogic. Пример эксплуатации будет в конце статьи. Устройства Amlogic в качестве одного, из цепочки, загрузчиков используют модифицированный u-boot. В современных ритейл устройствах по умолчанию включен Secure Boot, препятствующий запуску неавторизованного кода, а загрузка своего DTB позволяет частично снизить эффективность данного запрета...
2 месяца назад
Обход Rabbit Hole и Secure Boot на Яндекс мини 3 про
Это отложенная статья, так как информация передана в Яндекс Вug Bounty. Как я писал ранее, в Мини 3 про Яндекс хорошо подкрутил вопросы безопасности. В частности, запрещено изменять значения любых переменных u-boot environment кроме indication_brightness и silent: Изменения других переменных правкой их значений в разделе ENV не приводят к какому-либо результату. Однако, так было не всегда. Заводской u-boot защиты не содержит и вполне успешно загружает значения отредактированных переменных раздела ENV...
112 читали · 2 месяца назад
Инъекция своих параметров в строку загрузки ядра (Яндекс/Amlogic)
Это отложенная статья, так как информация передана в Яндекс Вug Bounty. В станции Яндекс Мини 3 Про неплохо подкрутили вопросы безопасности - используется цепочка Secure Boot (правда, всё еще с возможностью ее обхода), u-boot в случае ошибок более не запускает скрипты и не пытается восстановить прошивку с USB устройства, а переменные в ENV устанавливаются только по "белому списку". Или не только по нему? Мое внимание привлекла следующая конструкция в ENV разделе: Здесь переменные deviceid, localization,...
182 читали · 3 месяца назад
Оказывается, старым способом загрузки прошивок Яндекса, можно получить прошивки не только для устройств Умного Дома, но и для автомагнитолы Яндекс Авто. Пример ссылки: https://quasar.yandex.ru/check_updates?device_id=1234567890&platform=yap_vaz_evo&version= Скачанный файл обновления можно разобрать скриптом payload dumper. VAZ EVO это, похоже, Лада Веста. А YAP - возможно остатки от YAndex Phone? В любом случае будет интересно поковыряться в APK файлах.
3 месяца назад
Официальный способ установки сторонних приложений на устройства Яндекса
Оказывается, уже как минимум пару месяцев Яндекс разрешает установить до 10 приложений на свою Яндекс Станцию Макс, Яндекс Модуль (оба поколения), Яндекс ТВ Станцию и Яндекс Дуо через портал разработки. Подробная инструкция написана тут: https://dzen.ru/a/aQnQQMeD1Tf7CtBZ Ниже просто опишу свои мысли. Всего Яндекс поддерживает три типа приложений: Если посмотреть html код стартовой страницы портала разработки, то виден конфиг текущего аккаунта: Я выделил интересные параметры. Их значения можно изменить в консоли разработчика Google Chrome, введя: window...
2440 читали · 5 месяцев назад
Прикупил себе Sberbox Time. Не ради использования, а для издевательств над ним. Взял витринный образец со скидкой - все-равно разбирать. Первое впечатление - качество хуже самой первой Яндекс Станции. Дешевые материалы корпуса, какие-то приклеенные картонные радиаторы. Блок питания - свистит как соловей. Про сравнению с Мини 3 про - полный отстой. Вердикт: китайский дешман. Из плюсов - ADB включается из коробки через веб сайт. Также ADB по USB включен сразу на заводской прошивке до добавления в умный дом Сбера. Из минусов - пароль на USB тоже установлен на заводе. И вывод Linux на экран также заблокирован. И тоже есть rabbit hole, но реализован не так как у Яндекс. P.S. Получение прав root заняло всего 5 дней - после некоторых неочевидных модификаций, подошел старый эксплоит 2022 года. Но не тот, который я использую на Яндекс ТВ Станции. Работает, правда, нестабильно - но я все-равно попробую сдать в баг баунти Сбер девайсез. Разборка и пайка не потребовалась.
181 читали · 6 месяцев назад
Включаем ADB на Яндекс мини 3 про, часть 4 - запуск ADB и root на UART
В прошлой статье я написал, как вносить изменения в сдампленный образ NAND, пересчитать ECC (в тех местах где требуется) и записать назад. Включение ADB на устройствах Яндекса (кроме ТВ и устройств с HDMI) происходит скриптом /system/vendor/quasar/activate_adb.sh, который с помощью вспомогательного скрипта adb_options.inc проверяет наличие одного из файлов /data/quasar_activate_adb_* для включения ADB, и файла /data/quasar_activate_network_adb для активации доступа к ADB по сети (иначе будет только по USB)...
302 читали · 6 месяцев назад
Включаем ADB на Яндекс мини 3 про, часть 3 - делаем silent=0
В предыдущих двух статьях я описал процесс пайки и привел немного теории о содержимом NAND памяти. В этой части опишу как внести изменения в образ прошивки и подготовить его к записи на микросхему. Примеры привожу для Мини 3 про, но аналогичный способ должен работать и на других устройствах от Яндекс, имеющих NAND (для устройств с EMMC подойдет только раздел 4). 1. Читаем дамп программатором Внимание: я настоятельно рекомендую делать дамп прошивки устройства либо непосредственно после покупки (ни разу не включая его), либо сразу после сброса до заводских настроек...
245 читали · 6 месяцев назад
Включаем ADB на Яндекс мини 3 про, часть 2 - [не]много теории
Владельцам программатора UFPI мои самодельные утилиты бесполезны чуть менее чем полностью. Для остальных - примеры их использования будут в третьей части. А здесь я напишу немного теории и в конце оставлю короткое описание параметров и ссылки на исходные тексты утилит. Напомню несколько отличий NAND памяти от привычных нам блочных устройств: 1. Запись в NAND производится путем сброса значения битов из единичного значения в нулевое. Например, если ячейка памяти содержала двоичное значение 11111111b, в нее записали 01011010b, то в памяти останется значение 01011010b...
182 читали · 6 месяцев назад
Включаем ADB на Яндекс мини 3 про, часть 1 - пайка
В прошлой статье я описал неудачную попытку модификации прошивки станции мини 3 про путем запаивания SD кард ридера. В телеграмме в группе, посвященной ремонту Яндекс станций, подсказали припаять каретку для быстрого извлечения NAND: на Алиэкспресс это называется "тестовый адаптер TSSOP48" Но есть нюанс, который видно на фото: Квадратная микросхема находится чересчур близко к левому краю выпаянной NAND, из-за чего на это место невозможно установить 24-пиновый FFC/FPC разъём. К счастью, первые 6...
368 читали · 6 месяцев назад