HTL22 HTC J One SIM アンロック試行錯誤のまとめ

au にかえる割の条件変更の前に駆け込みで HTC J One を購入しました。(その後キャッシュバック祭りに乗れず結果として失敗だったわけですが・・・)

この一つ前の機種である HTC J Butterfly は SIM フリーに出来るということなので、その後継機種もできるはず、ということで解除に挑んでみました。
が、初めての挑戦でうまく行かず手詰まりになってしまったので、同じ徒労感を味合う人が減ることを祈りつつ、試行錯誤の記録を残してみることにします。

方法をご存知の方いらっしゃいましたら、コメントもしくは @bb_qq までこっそり教えていただけると喜びます・・・(内緒にしますので・・・)

追記:解除方法が公開されました。

以下の内容は root 取得+S-OFF 済み前提です。

Sprint 化

同じ CDMA の海外版の Sprint HTC One ではデバッグメニューを使った解除ができるということなのですが、日本版では当然のごとく省かれていました。

そこで Sprint 版の ROM を焼いてみたのですが、ダメでした。2ch に modem_st1/modem_st2 もアップされていたので、ベースバンドと一緒に焼いて試してみましたがやはりダメでした。モデムが起動せずに一定時間後に再起動してしまいます。

エンジニアリング版 HBOOT の利用

GSM の HTC One では HBOOT を書き換えて、そこからデバッグ用のコマンドで SIM ロックが解除できるようです。そこでダメ元で試してみましたが、やはりダメでした。

HTC J Butterfly 用ロック解除アプリの解析

一つ前の機種の HTL21 HTC J Butterfly では SIM ロック解除をワンクリックでできるアプリがある、ということなので逆コンパイルして解析してみました。Windows 版はスクランブル化されているようなので、Android 版を dex2jar と jd を使いデコンパイルしました。

肝心なところはパスワード付きの zip ファイルをダウンロードするようになっていたので、これを力ずくで解析したところ、改造された radio.img と misc.img が出てきました。(暗号化強度の弱い zip だからたまたまできたわけですが・・・)

これで改造前の radio と比較すれば解決の糸口が見つかるかも、と思いきや radio のバージョンが 0.22.10.0917 と明らかに開発版のバージョンになっていて、改造前の radio をネット上から見つけることができませんでした・・・(開発主は HTC の中の人の可能性が高そうです。)

しょうがないので、ベースバンドチップ用のobjdumpで逆アセンブルして比較してみましたが、市場に出荷された一番古いバージョンの 1.00.10.1127_3 と中身が違いすぎて撃沈しました。(ちなみにネット上の評価機の写真は 1.00.10.1127 でした。)

ベースバンドチップの逆アセンブル解析

HTC の SIM ロック解除系のコマンドは AT@SIMLOCK ということがわかっていたので、この文字列リテラルを頼りに某チュートリアルを参考にしながら逆アセンブルコードを解析してみました。

が、手がかりになりそうな文字列への参照ほとんど剥がれていて、なおかつ VLIW のコードを読むのは辛すぎるので諦めました・・・

以下の文字列がちゃんと命令列から参照されていればまだやりようがあったのですが。
mmgsdi_kddi_lib.c:Skip KDDI UIM lock checking for non-KDDI configuration
mmgsdi_kddi_lib.c:Non KDDI card - No RUIM or CSIM exists on card

Sprint 版のデバッグメニューの移植

Sprint 版のデバッグメニューは
  • /system/app/HtcOMADM_SPCS.apk
  • /system/app/DMCommandService.apk
  • /system/app/EPST.apk
  • /system/bin/dmagent
  • /system/lib/libDMCmd.so
 あたりで構成されていることがわかっていたので、これらの署名を付け直しつつ移植してみました。

結果、
am start com.redbend.vdmc/com.htc.omadm.test.TestMainActivity
でデバッグメニューが起動し、SIMLOCK を選ぶと logcat に成功したっぽいログが出ていましたが、何も起こりませんでした。radio が Sprint でないと意味が無いようです。以前 Sprint の radio はどうやっても動かせなかったので断念。

NV 書き換え

Galaxy Nexus では nv_data.bin を書き換えればロック解除ができていたので、同様の方法を探していたところ CDMA 機では CDMA Workshop で書き換えられるっぽいということがわかりました。

早速
setprop sys.usb.config mass_storage,adb,diag,diag_mdm
して、ドライバをインストールし NV を吸い出してみました。 7000 番代半ば以降は OEM 領域ということなので、それっぽいところを探してみたところ 30000-30157 あたりが HTC 独自拡張領域のようでした。そこでこの辺りを適当にいじくり回してみましたが、変化は特に無くて手詰まりです。



コメント

コメントを投稿

このブログの人気の投稿

国産キャリア版Xperia 1 (802SO) のbootloaderをunlockしてrootを取得する

イメージ
Xperia 1 (802SO) でbootloaderをunlockしてrootを取得する方法を紹介します。 ここで紹介した方法はほかのキャリアのXperia 1や、過去の機種にも適用できるはずです。 分解も不要です。ただし、1台当たり約2200~3000円かかります。 注: この記事ではかなり危険なことをしています。注意をよく読んで自己責任で利用してください。 追記: bootloader unlock不要でrootを取得できる ようになりました。 bootloader unlockに関する補足 日本向けモデルは本来公式bootloader unlockやroot化ができない Xperiaは海外向けであれば、公式のunlock方法が用意されており、Sonyの開発者サイトで申し込みをすればbootloaderをunlockし、root化やカスタムカーネルのインストールをすることができます。 しかしながら、国内キャリア版のモデル(最近は非キャリアの一部国産モデルは標準でunlock化)はこの口が塞がれており、正攻法ではroot化やカスタムカーネルのインストールはできませんでした。 過去には古いAndroidバージョンであれば、脆弱性をつくことでroot化できる国内キャリア機種もありましたが、それでもカスタムカーネルのインストールはかなり困難でした。(一部の機種は蓋を外すことでかろうじて可能でした) 今回紹介する方法は、有料のツールを使う別の方法でbootloaderのunlockを行います。 DRM Key(TrimAreaの鍵)がなくなることに注意 Xperiaには動画再生やカメラの映像を高画質化するSony独自の機能が搭載されています。しかしながら、一度bootloader unlockをすると、これら機能を使うための鍵が消去されて使えなくなってしまいます。基本的には 元に戻せません 。 具体的に使えなくなる機能は以下になります。 X-Reality(動画の高画質化) カメラのノイズ除去、暗部コントラスト修正など DSEE+ ClearAudio 著作権保護コンテンツのTV出力(HDCP) NetFlix・AmazonVideoのHD再生(WideVine L1) 元に戻すには、あらかじめ公式ではなく脆弱性をつく方法でrootを一時的に取得し、TA領域をバックア
続きを読む

Synology ds918+ に 2.5Gbps / 5Gbps の USB LAN を接続する

イメージ
なぜ2.5Gbps の NIC を増設するのか? 近年 10GbE の普及が進んでおり NAS 側が 10GbE に対応するケースが増えてきています。Synology にも対応したラインナップがあるのですが、残念ながら DS918+ には PCIe スロットが無く、10GbE に拡張する手段も用意されていません。 DS918+自体は 1GbE のポートを二つ持っているので、内部設定を無理やり変更して SMB Multichannel を有効化すれば擬似的に帯域を 2Gbps にすることは一応可能です。しかしながら SMB Multichannel はまだベータ扱いで  oplock の処理が未実装 です。そのため有効化するにはリスクがあります。 どうやって増設する? QNAP や ASUSTOR であれば、PCIe スロットが無くても USB で 2.5GbE/5GbE を増設することが可能です。しかしながら、Synology は全てのラインナップにおいて USB LAN のドライバが削除されており、標準では USB 接続をサポートしていません。 そこで、2.5GbE のドライバを自身で追加することにしました。今回利用した製品は PLANNEX の USB-LAN2500R です。 PLANEX USB3.2 Gen1対応 有線LANアダプター USB-LAN2500R posted with カエレバ 楽天市場 Amazon Yahooショッピング この製品は REALTEKの RTL8156 を搭載していますから、 REALTEK のドライバ を入れれば良いことになります。 5Gbpsは? 他にもQNAPから5Gbpsに対応した QNA-UC5G1T も販売されています。 QNAP USB 3.0 to 5GbEアダプター QNA-UC5G1T QNA-UC5G1T posted with カエレバ 楽天市場 Amazon Yahooショッピング これを使えばさらなる性能向上が期待できるのですが、手元の構成ではストレージの方の性能があまり高くないことと、USB 3.2gen1(=USB 3.0) の 5Gbps(論理データ転送速度は 4Gbps)がボトルネックになって、 コストパフォーマンスもあまり良くなさそうだっ
続きを読む

Xperia 1 (802SO) のrootを何も失わずに取得する

イメージ
Xperia 1 (802SO) でbootloaderをunlockせずにrootを取得する方法を紹介します。rootは一時的な取得(temproot)ですが、Xperiaの独自機能を失わずに済みます。 今のところこの方法は802SOにのみ適用できますが、しばらく待てば他の国産機種にも適用できるようになるのではないかと思います。 bootloader unlockとの比較 bootloaderをunlockすることでもroot取得は可能 ですが、今回の方法と比較すると以下の点が違います。 〇 お金がかからない 〇 DRM Key を失わずに済むので Xperia の独自機能を使い続けることができる (詳しくはbootloader unlockの記事を参照) 〇 Has Ever Been Unlock のフラグを No のままにできる このフラグは一度bootloaderをunlockするとYesになり基本的には元に戻せません。 Yes の場合、修理の場合に余計に費用を請求されるなど、サポートの対応が変わる可能性があります × 特定のファームウェアバージョンを使い続ける必要がある ファームウェアアップデートは普段通りできるので、root取得後、一回だけTitaniumBackupの復元機能を使うような使い方であれば問題ありません × 再起動するとrootが失われる まだワンタップでroot取得するような仕組みはありませんので、AdAwayのようなアプリを常用する場合は再起動しない使い方をすることになります。 rootの取得手順 ファームウェアをダウングレードする このroot取得方法はLinuxカーネルの脆弱性 CVE-2020-0041 ( 解説 )を利用しています。そのため、この脆弱性があるファームウェア(セキュリティパッチバージョンが 2020年3月より前)で動作している必要があります。 802SOの場合、脆弱性が残っている最も新しいファームウェアは 55.1.B.0.202 ですのでこれを使います。他の機種の場合も xda-develpersのスレッド に書かれているバージョンのファームウェアが必要です。カーネルのバイナリが全く同じ場合は他のファームでも動作する可能性がありますが、基本的にはここに書かれていないバージョンでは動作しないと考えてください。 フ
続きを読む