Хочу прошить кнопочный телефон dexp v242
Перед тем, как начнется обновление ОС необходимо проверить работоспособность аккумулятора . Достаточно долго держит ли заряд. Не отключается при зарядке смартфона. Если батарейка смартфона не надежна, то лучше не рисковать с перепрошивкой до тех пор, пока не приобретете новый аккумулятор.
Кроме проверки аккумулятора, необходимо проверить на точное присоединение к портам USB провода для соединения с компьютером. Любое отключение девайса в процессе приведет к тому, что смартфон станет кирпичом.
А также помимо аккумулятора и провода, необходимо сделать резервирование текущей прошивки, чтобы в случае неправильной установки новой, можно было откатить весь процесс назад. И обязательно сделать бэкап всех данных, чтобы не потерять их. Так как в случае удачного обновления, будет получен совершенно чистый смартфон.
Как перепрошить телефон Samsung
В этом разделе мы опишем перепрошивку с помощью приложения MultiLoader. После ее скачивания необходимо запустить и выбрать пункт «BRCM2133». Далее следуйте таким инструкциям:
Получение прошивки
Чтобы модифицировать прошивку, нужно сначала завладеть ей. Самый простой вариант — поискать на веб-сайте производителя. Inoi выкладывает прошивки ко всем своим моделям, но они не всегда самые последние — оказалось, что в версии с сайта отсутствует набор Т9 и игра «Тетрис».Что-ж, телефон уже прошит, придётся покупать второй и скачивать актуальную прошивку с него. Сделать это можно, в случае RDA, только сторонними программами, т.н. «боксами» — аппаратно-программными комплексами для прошивки и восстановления от сторонних разработчиков. Обычно необходимо купить сам «бокс» (устройство с набором кабелей) и подписку на ПО, но к счастью подходящее ПО уже есть взломанной версии, отвязанное и от бокса, и от подписки — Miracle Thunder 2.82 от Gsm_X_Team. Относитесь к этому ПО как к трояну — устанавливайте на отдельный компьютер, без интернета (в виртуалке не работает).
Miracle Thunder
Официальные прошивки поставляются в текстовом формате .lod. Этот формат описывает процесс прошивки поблочно, в соответствии с размерами блоков флеш-памяти, в виде адреса загрузки и бинарных данных, закодированных по 4 байта little endian. Формат нестандартный, но простой, без особенностей. Единственное, что нужно учесть при написании конвертера — файл описывает не все блоки флеша, некоторые из блоков не программируются (есть «дыры»).
Открываем дамп флеша или преобразованный файл прошивки в вашем любимом дисассемблере, начинаем анализировать, быстро разочаровываемся: строк мало, сегментация памяти непонятная, IDA норовит неправильно определить MIPS32/MIPS16-код, тут и там странные указатели 0x82xxxxxx на оперативную память, в которые никто не пишет…
Могу ли я установить на Android разные прошивки?
Если вам не нравится прошивка, установленная производителем устройства на вашем устройстве Android, вы можете заменить ее своей собственной прошивкой. … Пользовательская прошивка — также единственный способ установить новые версии Android на устройства, которые больше не поддерживаются их производителями.
Программы
Утилит для прошивки довольно много и подразделяются они на две категории:
- общие, которые подходят для всех моделей;
- те, которые предназначены для одного производителя (например, программа «Феникс» для прошивки телефонов Nokia).
Общие утилиты могут прошить практически любую модель. Однако если существует программа, которая создана специально для определенной марки мобильных устройств, лучше использовать её, так как в ней уже содержатся все необходимые драйвера и, возможно, сама ОС. Вот небольшой перечень «прошивальщиков» для конкретных марок, которые помогут «вылечить» гаджет:
- для Nokia – Phoenix Service и официальный сервис Nokia Software Updater;
- Sony Ericsson – PC Companion (обновленная SEUS), неофициальная DaVinchi;
- LG – «прошивальщики» Speedo, GsMulti;
- Motorola – Flash&Backup, P2K;
- Samsung – OptiFlash;
- BenQ – Winswup, Update Tool.
Рассмотрим алгоритм работы на примере утилиты Phoenix.
Какой программой прошить телефон?
Какие бывают программы для прошивки Андроид с компьютера
ROM Manager. Данная утилита устанавливается для загрузки ОС с SD-карты без использования компьютера. SP FLASH TOOL. Сервис предназначен для работы с ПК.
Как сделать прошивку на самсунг если телефон не включается?
- Установите на ПК необходимый прошивальщик.
- Скачайте прошивку для нужной модели.
- Запустите программу.
- Подключите гаджет к ПК шнуром и нажмите «Power» + «Vol –», в окне обнаружится новое устройство.
- Через утилиту выберите файл с Android и нажмите «Start».
- Дождитесь конца процедуры.
Поиск сжатых ресурсов
Итак, память размечена правильно, а кардинальных изменений не видно — множество функций продолжают вызывать код из оперативной памяти, но найти, кто пишет в эти адреса, с наскока не получается. Да и ресурсов подозрительно мало.
После непродолжительного анализа обнаруживаются три особенности:
Переиспользование функций из BootROMДля максимальной экономии пространства на флеш-памяти производитель реализовал наиболее востребованные функции библиотеки C непосредственно в ROM-памяти чипа: строковые функции (strlen, strcmp, strcpy, strcat, strtok), функции сравнения и копирования памяти (memcmp, memcpy, memmem, memchr), форматирования и вывода (sprintf, vsprintf), поиска и сортировки (bsearch, qsort) вызываются из памяти ROM, и не содержатся в коде прошивки, экономя драгоценные килобайты.
Сжатие кода и ресурсов алгоритмом LZMAКод наиболее объемных «модулей» (WAP-браузера, мультимедиа-плеера, приложения FM-радио, инженерного меню) хранится в сжатом виде, а распаковывается один раз, при запуске телефона. Ничего дополнительного после распаковки не происходит: код скомпонован так, будто эти модули всегда в оперативной памяти по фиксированным адресам.Аналогично распаковываются текстовые строки, но только для одного, текущего языка.
Копирование несжатого кода в оперативную памятьСамый архитектурно важный код ОС копируется в оперативную память и выполняется из неё. Вероятно, это сделано для максимальной скорости исполнения базовых функций ОС.
Сжатые ресурсы легко находятся через binwalk. Можно было бы каждый из них вручную распаковать и загрузить в текущую базу IDA по корректным адресам, но я нашел способ проще, надёжней и быстрее.
Работаем над Windows Mobile
Теперь начнется поиск и установка драйверов для подключенного устройства. Если их не оказалось, можно нажать на соответствующую кнопочку для поиска в Интернете. Когда драйвера будут установлены, появится большая плитка с изображением подключенного гаджета. Нажав на нее, вы запустите скачивание файла прошивки. Не стоит паниковать, если процесс идет слишком долго, так как файл может весить около гигабайта. Кроме того, если загрузка внезапно прервется, его всегда можно продолжить с момента остановки. Ещё есть один приятный момент: если возникнет желание прошить смартфон ещё раз, то скачивать уже ничего не придется, так как ОС останется на компьютере.
Когда загрузка закончится, появится кнопка Reinstal Software, нажав на которую, вы начнете установку ПО. При этом категорически нежелательно трогать телефон, USB-кабель, включать/выключать компьютер, так как результаты подобных манипуляций могут быть довольно плачевны.
Достигает 80%. Они привлекают покупателей своей невысокой стоимостью, так как Android устанавливается даже на самые бюджетные модели, а также возможностью настроить всё на свой вкус и даже при желании поменять прошивку. Именно о последнем и будет сегодняшний материал. Мы ответим на вопрос, как прошить планшет без компьютера через флешку.
Многие пользователи спустя время после приобретения гаджета задумываются о новой модели с бóльшими функциональными возможностями
Несмотря на то, что производители планшетов не приветствуют самостоятельную перепрошивку, помимо официальной возможности с применением компьютера, народные умельцы разработали несколько способов, как без него можно обойтись: через пользовательский рекавери или при помощи специального мобильного приложения. Давайте подробнее рассмотрим, как без компьютера: выясним, что для этого понадобится, а также сам процесс прошивки.
Как прошить телефон с помощью программы Flashtool?
В режиме Firmware Upgrade пункт PRELOADER должен быть активен; Нажать на кнопку Download; Подключить выключенное андроид устройство к компьютеру с помощью USB кабеля без использования переходников, удлинителей или хабов; После определения устройства начнется процесс прошивки.
Без ПК
Делается это через режим Recovery. Для этого должен быть скачан и перемещен на карту памяти файл прошивки. Теперь выключаем смартфон и включаем Recovery. Для этого нужно одновременно зажать определенную комбинацию клавиш (питание и громкость вниз, вверх или меню – комбинация зависит от производителя). Точно узнать комбинацию можно, заглянув в паспорт устройства. Далее выбираем пункт «Apply Update From External Storage» (прошивка телефона «Самсунг» и многих других смартфонов на базе «Андроид» происходит так же).
В наше время, когда рынок мобильных устройств перенасыщен самыми разнообразными брендами, некоторые пользователи предпочитают не переплачивать за громкое имя и покупают смартфоны от малоизвестных китайских производителей. В некоторых случаях пользователи получают то, что хотели, но иногда сталкиваются с постоянными ошибками и системными неисправностями. Подобные проблемы можно решить обычной переустановкой операционной системы. В этой статье подробно рассмотрим, как прошить или перепрошить китайский телефон. Давайте разбираться. Поехали!
Если вы всё-таки решились перепрошивать свой смартфон, прежде всего нужно скачать соответствующую прошивку для него. Обязательно обращайте внимание на марку и модель телефона, поскольку это является ключевым фактором, даже несмотря на то, что все китайские смартфоны выпускаются под операционной системой Android. В случае с китайскими устройствами вы можете не найти прошивку конкретно под марку вашего телефона, но обязательно убедитесь в том, что скачиваемая вами прошивка подходит в том числе и для вашего смартфона.
Следующее, что вам нужно сделать — зарядить устройство как минимум наполовину, в противном случае установить прошивку просто не удастся. Для перепрошивки вам также понадобится скачай на свой смартфон специальную утилиту, которая называется MobileUncle, однако, вы не сможете ей пользоваться, не получив предварительно root-прав.
Получите root-права, выбрав Superuser
Теперь нужно скачать из интернета так называемый recovery, конкретно под вашу модель телефона. Это необходимо для того, чтобы обновить recovery в приложении MobileUncle. Если под ваш телефон нет соответствующего файла, то тогда вы не сможете выполнить обновление.
Открыв приложение MobileUncle, нажмите кнопку «Обновление Recovery». После этого будет запущен поиск необходимого файла. Когда программа обнаружит файл Recovery с расширением «.img», нажмите сначала на него, а затем на кнопку «ОК». На экране появится окно с запросом прав суперпользователя. Чтобы продолжить, нажмите кнопку «Предоставить», а затем снова «ОК». Девайс начнёт перезагружаться и уже после перезагрузки вы попадёте в так называемый режим восстановления. Обратите внимание, что, если вы пытаетесь перепрошиться через стандартный recovery, чтобы запустить режим восстановления устройства, необходимо зажать клавишу увеличения громкости, а затем и кнопку питания.
Выберите файл recovery для вашего смартфона
Переходить между пунктами меню можно при помощи клавиши для увеличения/уменьшения громкости. Выберите пункт «Wipe cache partition», а в следующем окне «Yes — Wipe Cache».
После того как вы очистили кэш своего девайса, можно переходить непосредственно к его перепрошивке. Для этого находясь в том же меню, выберите пункт «install zip from sdcard». В следующем окне нажмите «choose zip from sdcard». В появившемся списке найдите файл с прошивкой и нажмите на него. Далее нужно только выбрать пункт «Yes — install». После этого запустится процедура установки прошивки на ваш девайс. Это может занять некоторое время, так что запаситесь терпением.
По завершении установки прошивки, находясь в том же меню, что и ранее, выберите пункт «Go back». В следующем окне нажмите «reboot system now». После загрузки вы получите смартфон уже с обновлённой Андроид-прошивкой.
По завершении установки перезагрузите устройство
В случае, если оказалось, что загруженная вами прошивка не подходит для вашего устройства (такое случается, даже если у других пользователей в аналогичной ситуации всё было в порядке), и телефон зависает на загрузке, то тогда скачайте другую прошивку и повторите все шаги в точности, как было описано выше. В этом отношении от файла, вообще, ничего не зависит, способ остаётся таким же.
После переустановки Андроида весь интерфейс смартфона может кардинальным образом поменяться, поэтому обязательно найдите всю информацию об устанавливаемой вами прошивке.
Будьте внимательны к процессу перепрошивки — иначе ваш смартфон может утратить функциональность, превратившись в «кирпич»
Теперь вы знаете, как самостоятельно прошить или перепрошить китайский телефон на Андроиде. Как видите, это достаточно просто и быстро. Пишите в комментариях помогла ли вам эта статья разобраться с переустановкой системы телефона, делитесь с другими пользователями своим опытом перепрошивки смартфонов и задавайте любые интересующие вопросы по рассмотренной теме.
Смартфоны российского разработчика DEXP являются довольно привлекательными из-за недорогой стоимости и при этом хороших характеристик. Их стандартная прошивка вполне устраивает большинство пользователей, ведь за такую привлекательную цену лучшее соотношение стоимости и качества найти очень сложно.
Компания DEXP с каждым днём становится всё более популярной в России
Тем не менее, могут возникать ситуации, когда из-за вмешательства в системные файлы, из-за некорректного обновления, либо по другим причинам работоспособность девайса нарушается. Лучшим вариантом исправления проблемы станет прошивка смартфона. К счастью, прошить телефон DEXP совсем несложно, так как разработчик оснащает их процессорами МТК, благодаря чему проблем практически никогда не возникает. Мы предлагаем на нашем сайте пошаговое руководство, как прошить телефон DEXP. Также вы можете скачать необходимые файлы и прошивки для самых популярных моделей.
Варианты прошивки смартфонов DEXP
В самом начале следует упомянуть, что телефон DEXP можно прошить как на официальную прошивку, так и на пользовательскую. Пользовательских прошивок существует довольно много, но не все они работают стабильно. От того, какую прошивку вы захотите установить, будет зависеть, каким способом вам нужно прошивать телефон. Возможно два способа.
С помощью компьютера
Таким способом устанавливаются официальные прошивки, а также некоторые пользовательские. Вам потребуется установить на свой компьютер или ноутбук утилиту SP FlashTools, драйвера для устройства и скачать файл прошивки, после чего, подключив телефон к компьютеру, с помощью компьютерной утилиты завершить процесс. Этот вариант является самым простым. Наиболее сложным моментом может оказаться установка драйвера на компьютер. Весь процесс занимает буквально несколько минут.
Через пользовательский Recovery
Данным способом устанавливается подавляющее большинство пользовательских нестандартных прошивок. Огромным его преимуществом можно назвать независимость от наличия компьютера, ведь он не всегда может оказаться под рукой. Чтобы прошить телефон DEXP через пользовательский Recovery, нужно получить рут-права, после чего установить кастомное рекавери с помощью специальной утилиты для смартфона Android. После этого вам нужно скачать файл прошивки и установить его через рекавери. Наиболее сложным моментом может оказаться получения root-прав, ведь в некоторых случаях утилиты для их получения срабатывает некорректно.
Подготовка к прошивке
Прежде чем прошить телефон DEXP, нужно к этому подготовиться. Рассмотрим, что вам понадобится, зависимо от выбранного способа.
При прошивке через компьютер
По большому счёту, главным инструментом является специальная утилита SP FlashTools (для моделей с процессором MTK) либо UpgradeDownload (для моделей с процессором Spreadtrum). Именно с их помощью мы будем устанавливать новую прошивку на наш телефон DEXP. У нас вы можете скачать каждую из этих утилит внизу страницы.
Сразу предупреждаем, что «самая свежая» не означает «самая лучшая», кроме того, в некоторых случаях может понадобиться определённая версия утилиты, наиболее стабильно работающая именно с конкретной прошивкой.
Вторым обязательным компонентом являются драйвера Windows для вашей модели смартфона. Они жизненно необходимы для того, чтобы компьютер корректно распознал ваш девайс и смог правильно его прошить. У нас можно скачать драйвера для самых популярных моделей. Нужно также скачать файл прошивки, которую вы хотите установить.
Кроме того, обязательно запаситесь рабочим USB-кабелем, с помощью которого можно будет соединить устройство с компьютером. В случае его неисправности у вас может ничего не получиться.
При прошивке через Recovery
Если же вы планируете устанавливать пользовательские прошивки, вам придётся предпринять несколько большее количество мер. Зато в будущем вы вообще сможете обходиться без компьютера.
Получение рут-прав
Обязательным в таком случае является получение root-прав. При их наличии ваши возможности существенно увеличиваются. Наилучшим вариантом станет использование мобильного приложения для Android либо компьютерной программы King Root. Остановим свой выбор на мобильном приложении, так как оно имеет русскоязычные меню, тогда как компьютерная программа существует только на китайском языке.
Установка кастомного рекавери
- Получив рут-права, установите утилиту для смены рекавери под названием Flashify.
- Запускаем её, на главной вкладке «Прошивка», которая будет отображена на экране, нажимаем на «Образ рекавери»;
- Далее вам будет предложено выбрать файл или автоматически скачать подходящую версию одной из самых популярных версий пользовательских recovery. Лучше всего предварительно скачать рабочую версию рекавери TWRP;
- Нажимаем кнопку «Выберите файл», ищем с помощью проводника файл recovery.img, подтверждаем выбор;
- Менее чем через минуту приложение предложит вам загрузиться в уже обновлённое recovery.
Примечание. Подходящую версию TWRP можно скачать внизу страницы.
Альтернативный вариант установки пользовательского рекавери
- Загружаем архив. в диск C, чтобы получилась папка C:\Platform-tools.
- Качаем подходящую версию рекавери, переименовываем файл в recovery.img и копируем его в ту же папку.
- Переводим телефон DEXP в режим fastboot, при включении удерживая кнопку громкости вверх.
- Далее на компьютере запускаем командную строку от имени администратора и последовательно вводим следующие команды:
cd C:\Platform-tools
fastboot flash recovery recovery.img
Чтобы зайти в рекавери, нужно одновременно зажать кнопку включения и громкости вниз.
Прошивка смартфонов DEXP
При установке через компьютер
-
. Если вы пользуетесь Windows 8 или 8.1, вам нужно отключить проверку цифровой подписи. Для этого нажмите Win + C — Параметры — Изменение параметров компьютера — Общие — Особые варианты загрузки. Компьютер должен перезагрузиться, после чего нажмите Диагностика — Выборочная загрузка. После повторной перезагрузки, когда отобразится список из 9 пунктов, нажимаем F7 и устанавливаем драйвера обычным способом.
Далее обратим внимание на особенности прошивки, зависимо от установленного процессора. Сначала рассмотрим прошивку смартфона с процессором MTK.
- Распаковываем в нужную папку архив с компьютерной программой SP Flash Tool, а также прошивкой. Лучше всего распаковать файлы в корень диска C и D.
- Запускаем файл flash_tool.exe с папки с распакованной утилитой.
- В запущенном окне жмём Download — Scatter-loading и ищем файл MT65xx_Android_scatter.txt в папке с прошивкой, после чего все необходимые файлы будут определены автоматически, а также снимаем галочку с PRELOADER.
- Отключаем телефон, соединяем его посредством кабеля с компьютером и кликаем Download.
- Ждём, пока процесс завершится, о чём мы будем оповещены зелёным кружком с надписью Download OK.
- Дожидаемся включения телефона и начинаем им пользоваться.
Примечание. Вместо Download можно нажать Options — Firmware-Upgrade, предварительно поставив галочку на DA DL All With Check Sum. Прошивка начнётся сразу после подключения аппарата.
Теперь обратим внимание на модели с процессором Spreadtrum.
- Запускаем утилиту UpgradeDownload.exe, нажимаем первую кнопку слева и выбираем папку с прошивкой.
- Нажимаем третью с левого края кнопку Play.
- Отключаем девайс, подключаем его к компьютеру, одновременно зажав обе кнопки громкости.
- Ждём окончания прошивки и начинаем пользоваться аппаратом.
При установке через рекавери
Тонкости могут отличаться зависимо от прошивки, но принцип следующий:
- Переводим устройство в режим рекавери.
- Переходим в раздел «Очистка», отмечаем все пункты, кроме карты памяти.
- Возвращаемся в главное меню, нажимаем «Установить», выбираем файл с прошивкой, делаем свайп, подтверждая операцию.
- Дожидаемся завершения.
Заключение
Надеемся, что на нашем сайте вы смогли выяснить все свои вопросы касаемо прошивки смартфонов DEXP. На самом деле, это сложно лишь на первый взгляд. Если следовать инструкции, проблем и сложностей у вас возникнуть не должно. В комментариях просим вам указать, удалось ли вам прошить свой телефон DEXP.
Несмотря на чрезвычайную популярность смартфонов, обычные кнопочные телефоны не потеряли свою актуальность среди людей, которым нужны исключительно базовые функции связи.
Рынок РФ заполнен множеством моделей разных характеристик, размеров, форм-факторов и расцветок: от миниатюрных телефонов размером с автомобильный брелок для удобной доставки на зону, до моделей а-ля 90-е, которыми можно убить грудного ребёнка.
Inoi 102 и Strike F10
Купил я телефон Inoi 101: дешевый, но функционально достойный даже на фоне более дорогих моделей. Всё бы хорошо, если бы не нежелательная функциональность, присущая большинству недорогих звонилок:
Пробные игры с покупкой полной версии через СМС, причём состояние покупки сбрасывается при полном сбросе устройства;
Попробуем устранить недостатки путём анализа и модификации прошивки.
Чипсет
Современные кнопочные девайсы строятся на платформах трёх производителей: RDA Microelectronics, Spreadtrum, Mediatek. Первой компании уже не существует: её купил Spreadtrum в середине 2015. Обе компании ребрендировали под именем Unisoc в 2018 году.
General Description
RDA8826C is a high performance, highly integrated system-on-chip solution for low cost, low power, GSM/GPRS mobile phone.
Integrating all essential electronic components, including baseband, quad band RF transceiver, power management, FM receiver, Bluetooth onto a single system on chip, RDA8826C offers best in class bill of material, space requirement and cost/feature ratio for complete phone handsets.Key Features
1. MIPS 312MHz processor
2. GSM/GPRS modem
3. 32Mb Flash and 64Mb PSRAM integrated
4. 320x480(HVGA) resolution
Нынешние телефоны построены в основном на процессорах Spreadtrum и Mediatek архитектуры ARM. Inoi 101 — не только «последний из могикан» на чипе ныне несуществующей компании, но и работает на ныне непопулярной архитектуре, с не самым известным набором команд MIPS16e, в котором инструкции кодируются в 2 байта вместо четырех, для уменьшения размера прошивки, что жизненно необходимо устройству со всего 4 МБ (32 Мбит) флеша.
SoC RDA8826 содержит в себе центральный процессор RDA8809e2, Baseband-процессор CT8851C, Bluetooth и FM-модули rdabt_8809 и rdafm_8809. Достоверная информация о всех компонентах в интернете не представлена.
Получение прошивки
Чтобы модифицировать прошивку, нужно сначала завладеть ей. Самый простой вариант — поискать на веб-сайте производителя. Inoi выкладывает прошивки ко всем своим моделям, но они не всегда самые последние — оказалось, что в версии с сайта отсутствует набор Т9 и игра «Тетрис».
Что-ж, телефон уже прошит, придётся покупать второй и скачивать актуальную прошивку с него. Сделать это можно, в случае RDA, только сторонними программами, т.н. «боксами» — аппаратно-программными комплексами для прошивки и восстановления от сторонних разработчиков. Обычно необходимо купить сам «бокс» (устройство с набором кабелей) и подписку на ПО, но к счастью подходящее ПО уже есть взломанной версии, отвязанное и от бокса, и от подписки — Miracle Thunder 2.82 от Gsm_X_Team. Относитесь к этому ПО как к трояну — устанавливайте на отдельный компьютер, без интернета (в виртуалке не работает).
Miracle Thunder
Официальные прошивки поставляются в текстовом формате .lod. Этот формат описывает процесс прошивки поблочно, в соответствии с размерами блоков флеш-памяти, в виде адреса загрузки и бинарных данных, закодированных по 4 байта little endian. Формат нестандартный, но простой, без особенностей. Единственное, что нужно учесть при написании конвертера — файл описывает не все блоки флеша, некоторые из блоков не программируются (есть «дыры»).
Открываем дамп флеша или преобразованный файл прошивки в вашем любимом дисассемблере, начинаем анализировать, быстро разочаровываемся: строк мало, сегментация памяти непонятная, IDA норовит неправильно определить MIPS32/MIPS16-код, тут и там странные указатели 0x82xxxxxx на оперативную память, в которые никто не пишет…
Скребём по сусекам
Раз не получается найти спецификацию на процессор, попробуем поискать какие-либо исходники по немногочисленным строкам, найденным в прошивке.
Из заголовочных файлов узнаём самое основное:
Флеш располагается по адресу 0x88000000 (4 МиБ)
Оперативная память — в 0x82000000 (8 МиБ)
SRAM — 0x81C00000 (64 КиБ)
BootROM — 0x81E00000
UI на моём устройстве построен на форке фреймворка MMI (man-machine interface) от компании Pixtel — CoolMMI. Подобный фреймворк используется и в ОС для кнопочных телефонов Mediatek MAUI, под названием PlutoMMI.
Обращение к текстовым строкам, ресурсам, задачам, меню, элементам NVRAM происходит с помощью уникального цифрового идентификатора, что затрудняет исследование: вы видите только цифры, далеко не сразу поддающиеся установке соответствия в осмысленную строку, пункт меню или ресурс.
Начальную информацию об основных функциях PlutoMMI от Mediatek можно почерпнуть из файла mmi framework and architecture.pdf. Архитектура CoolMMI и PlutoMMI совпадает в достаточной мере, чтобы пользоваться (аналогично скудной) документацией конкурирующего производителя.
Поиск сжатых ресурсов
Итак, память размечена правильно, а кардинальных изменений не видно — множество функций продолжают вызывать код из оперативной памяти, но найти, кто пишет в эти адреса, с наскока не получается. Да и ресурсов подозрительно мало.
После непродолжительного анализа обнаруживаются три особенности:
Переиспользование функций из BootROM
Для максимальной экономии пространства на флеш-памяти производитель реализовал наиболее востребованные функции библиотеки C непосредственно в ROM-памяти чипа: строковые функции (strlen, strcmp, strcpy, strcat, strtok), функции сравнения и копирования памяти (memcmp, memcpy, memmem, memchr), форматирования и вывода (sprintf, vsprintf), поиска и сортировки (bsearch, qsort) вызываются из памяти ROM, и не содержатся в коде прошивки, экономя драгоценные килобайты.
Сжатие кода и ресурсов алгоритмом LZMA
Код наиболее объемных «модулей» (WAP-браузера, мультимедиа-плеера, приложения FM-радио, инженерного меню) хранится в сжатом виде, а распаковывается один раз, при запуске телефона. Ничего дополнительного после распаковки не происходит: код скомпонован так, будто эти модули всегда в оперативной памяти по фиксированным адресам.
Аналогично распаковываются текстовые строки, но только для одного, текущего языка.
Копирование несжатого кода в оперативную память
Самый архитектурно важный код ОС копируется в оперативную память и выполняется из неё. Вероятно, это сделано для максимальной скорости исполнения базовых функций ОС.
Сжатые ресурсы легко находятся через binwalk. Можно было бы каждый из них вручную распаковать и загрузить в текущую базу IDA по корректным адресам, но я нашел способ проще, надёжней и быстрее.
Снятие оперативной памяти
Оказалось, протокол прошивки не только простой, но и разрешает чтение произвольных адресов без какой-либо подготовки, прямо во время работы телефона. В интернете была найдена готовая программа для чтения прошивки через UART, которая после модификации была использована для чтения всех 8 МиБ оперативной памяти через USB. 2 минуты — и никакой ручной работы!
Чтобы получить коммандный порт через USB, можно воспользоваться модулем usb-serial в Linux. Достаточно всего лишь «научить» модуль работать с RDA:
$ echo 1e04 0900 | sudo tee /sys/bus/usb-serial/drivers/generic/new_id
Разжатая функция в оперативной памяти
Отныне нам доступны все распакованные функции и ресурсы в оперативной памяти, что позволяет нам беспрепятственно их проанализировать.
«Покупаем» игры
В рассматриваемом телефоне присутствуют 3 платных игры производства Gameloft: Danger Dash, Ninja Up, Tetris. Первая — раннер, без какой-либо физики прыжка, вторая — примитивный фроггер с одним экраном, играть можно разве что в тетрис, но он начинает тормозить при заполнении экрана фигурами.
Каждая игра запускается всего 5 раз, далее их предлагается оплатить. Игры стоят 99 рублей каждая — половину стоимости телефона — обдираловка!
С точки зрения пользователя, покупка совершается так: нажимаем на кнопку «купить», телефон отправляет платное СМС, пользователю приходит ответный код, который нужно ввести в окно регистрации. Но если купить игру, запомнить ответный код, сбросить телефон и попробовать заново ввести этот же код, то он, с большой вероятностью, не подойдет.
Как так?
Генератор псевдослучайных чисел инициализируется значением текущей минуты;
Генерируется псевдослучайное число от 1000 до 9999;
Случайное число отправляется в СМС и сохраняется в NVRAM;
Ответный код проверяется с учётом сохраненного случайного числа.
Связка запрос-ответ уникальна для каждой модели, и зависит от той минуты, в которую была нажата кнопка «купить»:
Самый простой способ зарегистрировать игры навсегда — пропатчить код инициализации, заменив переменные количества демо-запусков на переменные купленности игры. Так как эта функция находится в несжатой области кода, проблем с её модификацией не возникнет.
Замена переменных в функции инициализации
Найти функции можно по отладочным строкам, содержащим характерное имя файла:
Функция вывода номера строки файла src/gameloft_billing.c
Отключаем Funbox
Меню платных СМС-подписок — ожидаемая, но неуместная функция послепродажного заработка денег производителем. Одно неловкое нажатие — и минимум 5 рублей со счёта в сутки вам обеспечено. Подобные вещи позволяют держать цены на кнопочные телефоны на очень низком уровне, но в моём устройстве им не место.
Как и в случае с играми, в функциях Funbox присутствует отладочный вывод номеров строк с именем файла "src/gmb_smart_sms_win.c". С этих строк можно «дошагать» до функции-обработчика выделения элемента главного меню (в CoolMMI они называются hilite, очевидно имеется в виду highlight), в котором и находится иконка.
Методом проб и ошибок удалось обнаружить обработчик входа в интерфейс подписок, который был благополучно за'nop'лен — нажатие на иконку Funbox центральной кнопкой или левой софт-клавишей более ни к чему не приводят.
Функция расположена в несжатой области и легко поддаётся изменению.
Исправляем громкость
Компонент аудиоусилителя телефона имеет 15 ступеней усиления, но для мультимедии прошивка телефона предусматривает всего 7 уровней громкости, с большими шагами между ними. Это неудобно: на «единице» телефон еле слышно, а на «двойке» он сразу ОРЁТ.
Использование регистра происходит через сегмент KSEG1, в обход MMU и кешей. Полный адрес audio_spk_cfg, обращения к которому нужно искать в дисассемблере — 0xA1A24028.
После непродолжительного поиска обнаруживается функция, преобразующая уровень усиления (по всей видимости, в децибелах) в значение SPK_GAIN:
Изменив уровни с [0, 2, 4, 6, 8, 10, 12, 14] на [0, 1, 2, 3, 5, 6, 8, 10], мы получили более плавную регулировку ценой уменьшения максимальной громкости, которая всё равно только приводила к перегрузу маломощного динамика телефона.
Если при воспроизведении MP3-файлов положительный эффект очевиден, то громкость FM-радио всё ещё регулируется с недостаточной гранулярностью. Вероятно, это аппаратная проблема подключения FM-чипа.
Неожиданные трудности
Для MIPS существует два стандарта 16-битных инструкций: MIPS16e и microMIPS. Первый является дополнением (extension) к архитектуре MIPS32: код может использовать одновременно оба набора инструкций, процессор может переключаться между режимом выполнения MIPS32 и MIPS16e в любое время, прыжком на нечётный адрес инструкции. Не все инструкции и возможности MIPS можно выразить командами MIPS16e — иногда переключение в режим MIPS32 просто необходимо.
microMIPS же — полноценная архитектура с полным набором 16-битных команд. Вот что говорит официальная брошюра:
The benchmarks prove that the microMIPS architecture delivers similar memory savings as the MIPS16e ASE, but with much better performance. The question is how? The list of reasons includes new optimized 16- and 32-bit instructions, an optimized recoding of MIPS32 instructions, and optimized op code format and register utilization.
The earlier stated fact that microMIPS is a complete architecture – not an extension − is also key. Both MIPS16e, and for that matter the similarly-targeted ARM Thumb technologies, are extensions. Both microMIPS and these extensions rely on the concept of new 16-bit versions of regularly used instructions to minimize code size. And all deliver reductions in code size. But only microMIPS delivers 32-bit performance.
The microMIPS mode can handle all operations such as exception handling, and offers a superset of the MIPS32 ISA. With MIPS16e, the programmer had to swap modes to use ASEs such as MIPS DSP. The microMIPS mode can seamlessly access the ASEs. The need to run legacy binary code is really the only reason that would prompt a programmer to use the MIPS32 mode.
Проблема в том, что привычные утилиты инлайн-ассемблирования кода для патча программы, такие как rasm2 из состава Radare2 и kstool из KeyStone, не поддерживают режим MIPS16e. Они либо ассемблируют 32-битные команды, несмотря на то, что выбран 16-битный режим, либо выводят опкоды, явно не соответствующие MIPS16e.
К счастью, ассемблер gcc поддерживает режим MIPS16e, а работать с ним почти так же удобно, как с rasm2/kstool. Есть, разве что, одна особенность: он выравнивает блок nop'ами.
Вывод
Надеюсь, эта небольшая заметка поможет исследователям прошивок кнопочных телефонов на платформе RDA и подогреет желание к погружению в звонилки на платформах других производителей. Доступные в любом магазине, эти дешевые но полнофункциональные двухсимочные телефоны с доступом в интернет так и просятся в руки хакеров, чтобы их адаптировали не только под базовые потребности связи.
Как оказалось, нет ничего сложного в минимальном изменении функциональности подобных устройств. Автор не столкнулся с неразрешимыми проблемами, проделанный путь в целом совпадает с анализом прошивкок любого другого устройства, а доступные исходники, хоть и устаревшие, позволяют разобраться в архитектуре и, при желании, интегрировать новые функции, не обладая кодом самой прошивки.
Введение
Три кита мобильных SoC
Существует три основных производителя систем-на-чипе для кнопочных звонилок:
RDA Microelectronics
Spreadtrum
Mediatek
Архитектура
Стандарты
Более не выпускаются, но всё ещё продаются.
Компания куплена Spreadtrum.
Ребрендированы в Unisoc, но продолжают выпускать чипы под старым брендом.
Имеют линейки для смартфонов, кнопочных телефонов, IoT, встраиваемых устройств, и т.д.
Каждый производитель чипов предоставляет свой SDK для разработки прошивок на его основе. SDK разных производителей разительно отличаются и, как правило, пишутся под конкретную линейку чипов и задачу. Функции конечного устройства также зависят от операционной системы: SDK может быть интегрирован в ОС реального времени через HAL .
Не обязательно покупать десятки и сотни телефонов для проведения полноценного тестирования: достаточно купить несколько моделей разных производителей SoC и с разными операционными системами.
Что я купил и что получил
Были куплены почти случайные телефоны, ориентируясь по визуальной составляющей интерфейса на фотографиях и в видеообзорах и немногочисленной информации о SoC в интернете:
Inoi 101 (RDA8826/SC6533, 600₽)
DEXP SD2810 (SC6531E, 699₽)
Itel it2160 (MT6261, 799₽)
Irbis SF63 (SC6531DA, 750₽)
F+ Flip 3 (SC6531DA, 1499₽)
Довольно быстро я осознал, что с телефонами что-то не так…
Классификация нежелательных функций
Вредоносную активность телефонов можно разделить на три категории:
Отправка СМС и выход в интернет для «отслеживания продаж»
Наиболее безобидная функция, не наносящая значительный материальный урон мобильному счёту. Устройство без ведома пользователя отправляет СМС (на обычный российский номер) или выходит в интернет, передавая IMEI-номер телефона и IMSI SIM-карты неустановленной организации или частному лицу.
Передача данных осуществляется либо один раз до сброса устройства в заводское состояние, либо после каждого извлечения аккумулятора.
Методы обнаружения и анализа вредоносной активности
Детализация расходов мобильного оператора
Анализ прошивки телефона — затратный метод, требующий глубоких познаний в устройстве телефона и способах обратной разработки ПО, зато позволяющий детально проанализировать вредоносные функции прошивки, а также избавиться от них.
Анализ прошивки состоит из трёх этапов:
Получение дампа из телефона или поиска и скачивания прошивки в интернете
Распаковки сжатых частей прошивки при необходимости
Исследования кода прошивки вручную
Самый простой и универсальный, но затратный или опасный способ дампа прошивки — использование так называемых «боксов» — аппаратно-программных комплексов от сторонних разработчиков для прошивки и восстановления широкого модельного ряда телефонов. Лет 15 назад боксы были распространены и востребованы, т.к. у каждого производителя телефонов был свой кабель, свой метод подключения к компьютеру в режиме сервисного обслуживания, часто требовалось подключение к контактным панелям (падам) в аккумуляторном отсеке. Современным телефонам такое, как правило, не нужно, и актуальные «боксы» представляют собой лишь особое ПО, способное производить все действия через USB-подключение.
Для снятия прошивки я воспользовался взломанной версией Miracle Box. Чтобы модификации, сделанные крякерами, нельзя было легко посмотреть путём сравнения оригинального и измененного файла, на взломанную версию навешан Enigma Protector, прямо поверх VMProtect, который используется в оригинальном ПО. Из-за этого программа запускается около минуты и тормозит на отрисовке кнопок и компонентов при переключении вкладок.
Взломщики не озаботились отключением интернет-функций программы, что позволило авторам выявлять использование взломанной версии и, по всей видимости, выполнять произвольный код на компьютере пользователя: в окне лога появляются устрашающие надписи о сборе и отправке всех сохранённых паролей на сервер.
Miracle Box (cracked)
Преимущество подобного ПО в полной автоматизации процесса: программа сама определит конкретную модель процессора, адрес флеш-памяти и её размер. Некоторые боксы содержат встроенные эксплоиты для обхода Secure Boot и других подобных защит.
Существуют и альтернативные варианты получения дампов. Для чипов Mediatek можно воспользоваться официальной программой MTK Flash Tool, в которой есть функция чтения произвольного адреса памяти, а для RDA можно воспользоваться готовым скриптом, позволяющим прочитать в т.ч. оперативную память.
Официальное ПО для Spreadtrum: SPD Flash Tool / ResearchDownload.
Базовая станция 2G — удобный и лёгкий в настройке метод массового практического анализа вредоносной активности без предварительной подготовки каждого устройства, однако требующий значительных капитальных затрат на покупку SDR-оборудования.
Метод даёт доступ ко всему сетевому трафику GSM/GPRS, с возможностью его просмотра и модификации на лету.
bladeRF x115 ($650)
Raspberry Pi 400 ($100)
Открытое и бесплатное ПО базовой станции YateBTS
Wireshark для анализа GSM и интернет-трафика
BladeRF питается от USB и не требует никакой дополнительной обвязки. Достаточно обычной дипольной антенны для начала работы.
YateBTS автономно реализует все компоненты GSM-стека, благодаря чему устанавливается и настраивается буквально за 30 минут. Отлично подходит для подобных исследований!
Телефоны
Inoi 101
Первое и самое «чистое» купленное устройство — Inoi 101, о котором я уже писал отдельную заметку
Этот телефон не содержит вредоносных функций. Присутствуют типичные нежелательные вещи вроде меню СМС-подписок и платные игры, но устройство не выполняет какие-либо действия самовольно или скрытно.
Itel it2160
Модель Itel it2160 сообщает «о продаже» через интернет, без предупреждения.
Идентификатор базовой станции (LAC/TAC)
Идентификатор базовой станции позволяет определить местоположение телефона с точностью до ≈5 километров.
F+ Flip 3
Не содержит браузера, не выходит в интернет.
Декомпиляция прошивки выявляет наличие других номеров телефонов для ряда стран: +92313568243 для Пакистана (PLMN 410), +8804445600006 для Бангладеша (PLMN 470), 18049479956 для Азербайджана и Казахстана (PLMN 400, 401), +9156767215 для Индии (PLMN 404, 405).
В тексте СМС помимо IMEI и IMSI передаются три константы, по всей видимости означающие модель телефона и номер партии (дату производства):
На 4pda были обнаружены архивы прошивок от нескольких моделей фирмы BQ, которые очень похожи на прошивки F+. Судя по всему, это не перепакованный архив прошивки от OEM-производителя, содержащий помимо самой прошивки еще и файлы, необходимые для её отладки. В частности, в архивах содержится прошивка в виде .elf-файла, без сжатых секций, с отладочными символами.
Открыв .elf-файл в IDA, мы можем увидеть оригинальные названия функций и переменных.
Функция отправки СМС называется gmb_sms_sales_send_sms_ext, где gmb — вероятно, gmobi — поставщик сервиса смс-подписок.
Я попытался получить подробности об этой функциональности у производителя. С компанией F+ состоялся следующий диалог:
На просьбу выложить обновлённую версию прошивки в открытый доступ получил отказ и игнорирование дальнейших вопросов.
DEXP SD2810
DEXP SD2810 от российского бренда сети магазинов DNS.
Опасный телефон, расходующий деньги мобильного счёта.
• Не содержит браузера, но подключается к GPRS
• Сообщает «о продаже» через интернет, без предупреждения
• Передаёт IMEI, IMSI
• Обращается к CnC в интернете и выполняет его команды
• Отправляет платные СМС на короткие номера с текстом, полученным с сервера
02.01.2019, мы приобрели телефон Dexp SD2810 [. ] в день покупки мы вставили сим-карты и спустя 2 часа со счёта произошло списание денежных в размере 50 рублей. По детализации я увидел, что была отправка смс на номер 4446 и заказан какой-то развлекательный контент [. ]
15.01.2019 и 02.02.2019 также были отправлены смс на этот же номер 4446 и списано по 50 р. за каждую.
DEXP не ответил на запрос о вредоносной функциональности.
Irbis SF63
Модель SF63 от российского OEM-поставщика Irbis.
Опасный телефон, использующий номер вашего телефона в коммерческих целях, для регистрации сторонних лиц в интернет-сервисах.
• Не содержит браузера, но подключается к GPRS
• Сообщает «о продаже» через интернет, без предупреждения
• Передаёт зашифрованные данные на сервер
• Обращается к CnC в интернете и выполняет его команды
Этот «бабушкофон» шёл из магазина с «чистой», обновлённой прошивкой. В интернете для этой модели была найдена одна единственная версия "IRBIS_SF63_GC9106_CTC_V05_GSM_FM_20181010.pac", которая и была установлена на устройство. Она оказалась с бекдором.
Началось все 24 октября 2020 года. [. ] телефон радостно прислал мне уведомление, что новый контакт зарегистрировался в телеграм. Сон как рукой сняло ибо в телеграме зарегистрировалась бабушка моей девушки.
Результаты
4 из 5 телефонов содержат незадекларированную функциональность, из них:
Кто виноват?
Прежде всего виноват бренд, под которым продаются телефоны. Бренд заказывает разработку самого устройства и прошивки для него у OEM-производителя, но не проверяет конечное устройство на наличие незадекларированных возможностей. По какой-то причине, многие бренды не выкладывают прошивку на сайт, а отправляют обновлять устройство в сервисный центр в случае проблем.
Бренды F+ и BQ отрицают проблему или умалчивают о ней.
OEM-производитель готов внедрить любой каприз бренда или производителя сторонних модулей, за ваши же деньги.
Отсутствие в России специализированного министерства, которое бы занималось подобными проблемами. Минцифры (бывший Минсвязи) проверяют только сертификацию продукции на соответствие мировым и российским стандартам связи, но не функциональность конечного устройства.
Минцифры порекомендовало обращаться в Роспотребнадзор, перенеся проблему в плоскость продавец-покупатель.
Что делать?
Мобильных телефонов огромное количество, проверить их все невозможно.
Покупайте только проверенные мировые бренды: телефоны Nokia не содержат вредоносной функциональности, но и стоят в 2-4 раза дороже «отечественных» аналогов;
Читайте отзывы перед покупкой: лучше купить проверенную модель, давно присутствующую на рынке, с безупречной репутацией, чем рисковать с новинками;
Отслеживайте поведение нового телефона после покупки в течение суток, по детализации оператора;
Пишите в Роспотребнадзор, ФСБ (?) и производителю, если обнаружили непонятную активность.
…а что с приёмом СМС?
Обновления
Представитель DNS прокомментировал статью, запущена отзывная кампания моделей DEXP B281 и DEXP SD2810
Читайте также: