Odblokování Sagemů - I. díl

Autor: Tomáš Macek (tm@the.cz)
Adresa článku: http://sagem.the.cz/view.php?cisloclanku=2005022802
Téma: Universal
Vydáno: 28. 02. 2005 (6697 zobrazení)
 
Protože mám v poště neustále dotazy na odblokování různých telefonů, rozhodl jsem se sepsat tento článek. Najdete zde seznam telefonů u kterých lze odblok provést, metodu kterou to udělat a další potřebné informace. Na začátku popíši několik základních věcí a pak to vezmeme chronologicky.
 
Základy
Hned na začátku se přiznám že s odblokováním telefonů ostatních značek mám malé zkušenosti. I přes tento nedostatek ale vím že odblokování Sagemů patřilo vždy k tomu těžšímu ve srovnání s jinými značkami. Jestliže u jiných telefonů šlo spočítat odblokovávací kód například jen z IMEI telefonu tak u Sagemů to tímto způsobem nikdy nefungovalo. Pro vygenerování odblokovávacího kódu je třeba znát nejen IMEI, ale také Hash tabulku (speciální kombinace 255 znaků použitá při šifrování), locklevel (Sagemy mohou mít několik úrovní zámků) a nejdůležitější část je phoneID (unikátní 12-místné šestnáctkové číslo). Všechny tyto údaje se pak používají jako vstupní hodnoty šifrovacího algoritmu, kterým se počítají kontrolní součty a s nimy také SIM a WAP lock. A právě s phoneID jsou největší problémy - technici Sagemu postupně uzavírají jednotlivé cesty k jeho detekování. U nových modelů už ho bez speciálního zařízení a softwaru nezjistíte.
Podobné to bývalo i s hash tabulkou. Pomocí speciálního příkazu nebyl nikdy problém zjistit jakou hash tabulku telefon používá. Bohužel tento příkaz vrátil pouze číslo tabulky ale už ne její obsah. Vznikaly proto programy které byly schopné hash tabulky vyčíst z flash paměti, která je normálním způsobem nedostupná. Dnes se již situace stabilizovala a Sagem od změn hash tabulek ustoupil a za poslední dva roky využívá v naprosté většině telefonů hash 22. Obsah hash tabulek je až na pár vyjímek znám. Ty které nejsou pro běžné lidi dostupné pak mají ve svých sbírkách největši esa unlockingu Sagemů - Latigido, Hack3r2r, GSMinfo.pl,...
Třetí možností jak Sagem znesnadňoval rozbíjení zámků operátora je skrývání nebo omezování přístupu k datům nutným pro odblok. Zpočátku šlo číst například phoneID přímo z RAM. Později už to šlo buď jen počítáním nebo přes bootstrap mód. Ovšem data nutná pro počítání začal Sagem po nějaké době blokovat a zakazovat jejich čtení ze servisního menu a kabelem. Na to druhá strana zareagovala objevením kódu kterým dojde k odblokování RAM paměti a chráněných polí eeprom. Tento kód funguje i na nových telefonech ale jeho přesný tvar je znám opět jen vybrané skupině lidí. Zřejmě díky tomu že nebyl zveřejněn Sagem tuto možnost zatím neuzavřel.

Sagem loaderPRO


Řady 7xx a 8xx
Tyto dnes již stařičké modely zde uvádím jen kvůli úplnosti. Normálně se s nimy již díky jejich stáří nesetkáte. Jijich odblokování je bezproblémové a na internetu najdete spoustu prográmků pro odblok (například na adrese http://mobile.box.sk naleznete třeba Sagem 8xx/9xx by Cable). Nevýhodou je že budete potřebovat kabel s jiným konektorem než mají ostatní telefony Sagem. Zapojení kabelu je jinak stejné jako pro všechny novější mobily a u kabelu stačí tedy jen prohodit konektor (jeho cena se pohybuje kolem 50 Kč).

Řada 9xx
U této řady telefonů se odblok provádí třemi metodami. O tom kterou metodu použít rozhoduje stáří telefonu - čím je model novější, tím je odblok o kousek komplikovanější (ale pořád je to procházka růžovým sadem proti tomu co se dělá u nejnovějších modelů). Pro odblokování nejstarších kousků z této řady (RC 919, RC 922, MC920) Vám k odblokování stačí pouze aktivované servisní menu a jakýkoliv program na vygenerování odblokovávacího kódu (Sagem SWS, Calc 4.2.2 nebo online utilitka http://encrypter.the.cz). Z eeprom si vyčtete field 0 (IMEI ve speciálním tvaru) z RAM pak adresu 219 (phoneID), hash tabulka je většinou u těchto telefonů 00. S pomocí těchto dat pak vygenerujete kód pro odblokování a vložíte ho v servisním menu do submenu SIMLOCK.
Popsaný postup funguje u firmwarů nižších než 4.0X. U vyšších verzí už na adrese 219 nenajdete phoneID. V tom případě je nutné použít kabel a například program Sagem LoaderPRO, který telefon restartuje do Bootstrap modu a vrátí Vám phoneID při přímé komunikaci s procesorem. Zároveň Vám Sagem LoaderPRO vrátí i číslo hash tabulky - u těchto telefonů to může kromě hash 00 může být například i hash 10. S těmito daty je vygenerování odblokovávací kódu otázkou okamžiku.
Největším problémem této řady jsou telefony s Wapem - MW 939, MW 959, MW 936,... Zde není použit procesor Infineon ale ARM a tak je nutné použít jiný program. V době kdy byly tyto telefony na trhu vytvořil Hannes (autor programu Sagem Doctor) utilitku jménem Sagem MW bootstrap tool. Funguje podobně jako Sagem LoaderPRO a po uvedení telefonu do bootstrap módu Vám vrátí phoneID. Navíc má tento program možnost extrahovat hash tabulku.

Řada 30xx
Zde jsou odbloky děleny na dva typy - u některých telefonů je použit procesor Infineon (MC 3000, MW 3022, MY 3020) u jiných pak opět ARM (velká většina MW 3026 a MY 3026). U prvních MW 3026 s firmwarem DJ3.5C Sagem zapomněl lépe zabezpečit vstup do bootstrap módu takže bylo možné vyčítat phoneID. Na dnes již neběžícím serveru www.cbot-gsm.de vznikla sbírka těchto ID a ke slovu přišel Christian Reinmann - vytvořil kalkulátor který na základě známých phoneID zkoušel vygenerovat ID pro konkrétní telefon. Stačilo jen z telefonu zjistit IMEI, hash tabulku a vyčíst kombinaci šifrovaných a nešifrovaných dat. Kalkulátor pak v podstatě hrubou silou zkoušel dešifrovat zadaná data a porovnával je s nešifrovanými hodnotami. Pokud data souhlasí je nalezené phoneID správné. Málokdo si dovede představit jak je tato operace časově náročná. Pokud byste s tímto starým kalkulátorem chtěli otestovat celý rozsah ve kterém se ID může pohybovat (tj. 000000000000-FFFFFFFFFFFF) a měli jste PC s 1 GHz procesorem potřebovali byste na otestování 16 let času. Proto začal Chris kalkulátor optimalizovat - jádro kalkulátoru bylo přepsáno do assembleru, byly testovány jen kombinace s nejvyšší šancí nalezení phoneID,... S každým dalším nalezeným phoneID byl algoritmus hledání dále upravován až se Chris dostal na rozmezí 80 - 200 hodin na jeden výpočet. Pak byly objeveny tzv. suffixy - části phoneID které se v telefonech opakovaly. Kalkulátor byl předělán tak že obsahoval seznam suffixů kolem kterých dosazoval zbytky phoneID a zkoušel s takto sestavenými ID opět dešifrovat data. Tím se čas potřebný na výpočet snížil na maximálně desítky minut. Vše už záviselo jen na velikosti seznamu suffixů. Chris programování pro Sagemy ukončil a práci po něm převzal Hack3r2r. Tento udělal velkou sbírku ID a vznikl Sagem stealth calculator, který se stal nejlepším kalkulátorem pro tyto a některé následující telefony.
Technici Sagemu však opět zakročili a z telefonu se začala ztrácet data potřebná pro spočítání phoneID. V té době to však nebyl tak vážný problém protože je bylo možné vyčíst buď přes servisní menu nebo bylo možné použít field 5709 (tzv. WAP lock), na který Sagem opět zapomněl. Kalkulátor byl určený hlavně pro řadu 30xx, ale je použitelný částečně ještě u řady MY (X-3, X-5, X-2, C-2,...).

Infineon tool


To byly modely s procesorem ARM u kterých byl odblok z počátku možný. U Infineon procesorů to bylo o poznání horší. Nebyl znám postup jak telefon uvést do bootstrap módu a vyčíst phoneID. Kvůli tomu nebylo možné určit v jakém rozsahu se ID pohybují. Byl sice znám postup jak se dostat do servisního menu a vyčíst data ale phoneID stále odolávalo. Protože procházení celého rozsahu kde se může ID skrývat je i přes optimalizace časově náročné, vznikl projekt na distribuovaný výpočet který by rozložil počítání mezi stovky počítačů dobrovolníků po světe. Z internetu si uživatelé stáhli klienta a pak speciální řetězec s daty. Ten se vložil do klienta, který tato data během několika hodin otestoval. Výstupem byl opět řetězec jež se ukládal na internetové stránce do databáze. Projekt měl velice dobrou podporu, ale protože nebyl procházen celý rozsah, phoneID nebylo nalezeno. Až po jeho ukončení bylo zjištěno že tudy cesta nevede - phoneID je u telefonů s Infineon procesorem naprosto náhodné a navíc se může pohybovat v celém rozsahu. Proto by nalezení několika phoneID nepomohlo při vylepšování vyhledávacího systému a vždy by bylo nutné procházet znovu a znovu celý rozsah.
Proto začal Chris zkoumat materiály o Infineon procesorech a zanedlouho přišel s programem Infineon tool (později vznikla ještě verze 2.0 s vylepšenou podporou komunikace a Windows 98). S tímto programem je odblokování naprosté většiny těchto Sagemů otázkou okamžiku. Stačí jen připojit na kabel, nastavit rychlost a spustit komunikaci. Poté jen vložit baterii do telefonu a zapnout ho. Program otevře bootstrap mód a nabídne Vám zda chcete phoneID, výpis eeprom polí nebo přímo odblokovávací kódy.
Teprve později s příchodem metody pro odblokování nových telefonů se objevila další možnost jak osvobodit řadu 30xx od zámku operátora. Jedná se o program Sagem code reader, o kterém si povíme v druhém díle tohoto článku (tedy pokud o druhý díl bude zájem - můžete se k této otázce vyjádřit v diskuzi).
 
TISKNI