SAGEM.THE.CZ

server
Odblokování Sagemů - II. díl
V prvním díle jsem se pokusil popsat metody pro odblokování starších telefonů, dneska to bude o novějších modelech, odblokování podle IMEI, protected oblasti, odbloku RAM, dočasném odbloku,... Tím snad projdeme vše s čím se můžete při odblokování Sagemů potkat.
Vydáno: 25. 04. 2005 | Přečtení: 6528
Autor: Tomáš Macek | Komentáře (1) | Tisk článku | Info email

 
Obrana Sagemu
V prvním díle jsem se zmiňoval o tom jak každým novým telefonem technici Sagemu přichází s metodou kterou by ještě více zkomplikovali odblokování jejich telefonů. V této bitvě proti autorům odblokovávacích zařízení a softwarů udělali v Sagemu razantní krok s příchodem telefonů MY X-5m. Předchozí modely multimediální řady MY (X-3, X-5) měly ještě servisní menu a v eeprom pole z kterých se dalo hrubou silou spočítat phoneID. Vše bylo ovšem zlikvidováno s výše jmenovaným telefonem. Jedním ze dvou nejzásadnějších kroků bylo uzavření servisního menu. Sice v telefonu zůstalo ale bohužel jen první úrovně takže v něm není možné provádět žádné změny eeprom ani čtení potřebných dat. Do dalších úrovní menu se není možné dodnes dostat - THS_9 kód nefunguje a field 94, který umožňoval trvalou aktivaci třetí úrovně úplně zmizel z eeprom (není jen vynulovaný - mezi poli 93 a 95 prostě nic není). Druhým a také velmi zásadním krokem bylo zrušení polí, z kterých bylo možné vyčíst kryprované hodnoty používané v kalkulátorech. Nejpoužívanější pole 5709 (zámek WAPu) zmizelo úplně, kontrolní součty a sim lock pole se nedají normálním způsobem přečíst. Po různých testech a pokusech bylo zjištěno že Sagem provedl práci téměř dokonale - zkoumáním obsahu flash paměti se přišlo na to že vyšší úrovně servisního menu v telefonech už neexistují a v eeprom se nenachází žádná rozumně využitelná hodnota kryptovaného pole. Od doby X-5m používá Sagem tyto metody u většiny telefonů. Jedinou výjímku tvoří nejlevnější telefony (MY X-1, MY X-2), kde v eeprom zůstal přístupný field 5709.
Je pravdou že Sagem tímto krokem opravdu na chvílí téměř zastavil odblok nových modelů. Druhá strana však nelenila a po určité době odpověděla ještě důrazněji než Sagem. Nová metoda byla naprosto odlišná od předchozích a dá se říci že zašla až na úplnou hranici možností jak odblokovat mobilní telefon. Na svět totiž přišel dnes už legendární program Sagem code reader a metoda testpointů.

Odemykání protected oblasti a funkce Watchdog
Lidé se s nemožností odbloků nechtěli smířít a proto bylo prováděno velké množství pokusů jak prolomit zámek operátora. Jednou z metod bylo například vyčtení polí s kontrolními součty telefonu z kterých by bylo možné zjistit phoneID. Tato pole patří do takzvané protected oblasti (patří sem kromě kontrolních součtů ještě například pole 191,251-253 související se zámkem operátora). Tato chráněná oblast se nedá běžně číst kabelem. Musíte jí nejprve odemknout speciálním příkazem - pokud ho pošlete ve správném tvaru, můžete tato pole číst pomocí běžných programů a máte také možnost stahovat celý obsah RAM paměti (pokud není protected odemčena můžete paměť stahovat také ale dump bude obsahovat samé nuly). Příkaz pro odemčení protected polí byl v době svého objevení (a dodnes také je) jednou z nejtajnějších věcí týkajících se Sagemů. Znám byl pouze vybraným lidem a získat ho od nich bylo téměř nemožné. Je pravdou že se příkaz dá zjistit, ovšem bez znalostí několika věcí je šance na objevení téměř nulová. Pokud chcete odemknout protected musíte tedy poslat tento tajemný příkaz do telefonu po kabelu spolu s phoneID. Jestliže formát příkazu i ID souhlasí telefon pošle zpět potvrzovací odpověď. V opačném případě bude telefon příkaz ignorovat a dojde k ukončení spojení. To vedlo k myšlence vytvořit program který se bude chovat podobně jako kalkulátory - vygeneruje možné phoneID a pokusí se ho spolu se speciálním příkazem poslat do telefonu. Pokud přijde potvrzovací odpověď je jasné že vygenerované ID je správné. V opačném případě se vygeneruje nové phoneID a opět se posílá do telefonu. Tento postup se opakuje do nalezení phoneID s kterým už není problém spočítat odblokovávací kód nebo dokud nedojdou možné phoneID. Zásadní nevýhodou této metody byla její pomalost. Kalkulátory dokáží během vteřiny otestovat teoreticky až stovky phoneID, ale posílání příkazu po kabelu je i přes nastavenou maximální rychlost (115 200 baudů) pomalé. Pokud totiž phoneID nesedí musíte před dalším posílaným příkazem počkat až vyprší čekací doba na odpověď. Zde se již ale pohybujeme v desetinách vteřiny a to velmi výrazně zpomaluje testování skupiny možných phoneID.
Druhou zajímavou metodou je použití Watchdog (hlídací pes) funkce. Tato funkce se nastavuje v eeprom poli 152 a definuje jak se má telefon chovat pokud dojde k chybě a telefon zamrzne nebo se jinak zablokuje. Pokud má pole hodnotu 0 telefon se po chvíli pokusí o restart. Ten poznáte tak že se vypne na vteřinu displej, telefon se odpojí od sítě a znovu se do ní připojí. Pokud však nastavíte hodnotu pole na 1 telefon by měl v případě zatuhnutí přejit pod Monitor mode (servisní menu) - jak to alespoň tvrdí originální Sagem dokumentace popisující eeprom (mimochodem občas opravdu pěkně kecá :-). Takže zbývalo jen donutit telefon k zatuhnutí což není takový problém - nejlépe to jde tak že se do telefonu pokusíte poslat po kabelu nebo infra objekt který telefon nedokáže zpracovat (wav soubor o speciální velikosti, poškozený obrázek,...). Při jeho zpracovávání pak telefon prostě zkolabuje a za několik vteřin restartuje. Bohužel ani tato metoda nezabrala - servisní menu se neotevře. Pole 152 není navíc přímo editovatelné (nedá se do něj zapisovat) a musíte pro jeho změnu editovat RAM telefonu kde se zrcadlí opsat eeprom paměti.



Poslední popisovanou možností kterou si uvedeme byl takzvaný temporary unlock - dočasný odblok. Autorem byl opět Christian Reinmann a integroval tuto metodu do logovacího prográmku ASTU a také do svého kalkulátoru. Program pracoval tak že po nastartování telefonu upravoval pole týkající SIM LOCKu - čímž ho vyřadil z provozu a telefon bez problémů fungoval s vloženou SIM kartou. Mělo to ovšem zásadní nevýhodu - vše takto pracovalo pouze do té doby po kterou byl telefon zapnutý. Po jeho vypnutí byl telefon opět uzamčen. Tento prográmek pracoval až po nejnovější řadu telefonů - s V55, X5-2, C-4 už nefunguje.

IMEI odblok
V době odblokovávacích prázdnin se také objevila další možnost jak osvobodit telefon pro cizí sítě. Jednalo se o IMEI odblok. V prvním díle jsem psal že jen s pomocí IMEI telefon odblokovat nelze (to je stále pravda), ale objevila se jiná možnost. Operátoři kteří blokují své telefony potřebují mít šanci je i odblokovat (například pokud za poplatek nabízejí prodej odblokovávacího kódu). Proto mají databáze v kterých je IMEI telefonu spolu s potřebným kódem. A protože Sagem není v cizině tak nepopulární jako u nás a zájem o odblokování (nemyslím tím samozřejmě to oficiální jež nabízí operátor) byl obrovský, začaly se tyto tajné databáze buď objevovat na internetu nebo načerno prodávat zájemcům, kteří měli stovky telefonů čekajících na odblokování. V kurzu byly hlavně databáze operátorů z Francie a Anglie. Cena takto koupeného kódu byla kolem 20 Euro.

Sagem Code Reader
A nyní se již dostáváme k slibovanému Sagem code readeru. Při své činnosti používá tento program takzvané test pointy (testovací body). Nachází se přímo na základní desce telefonu mezi ostatními součástkami. Jde o malé plošky vyvedené na povrch základní desky a jak jejich název napovídá slouží k testování jednotlivých funkcí základní desky. Deska se osadí součástkami, připojí se k ní napájení a testpointy se spojí s rozhraním JTAGu. Ten pak přes konkrétní testpointy komunikuje s procesorem a testuje jednotlivé funkce. Množství a rozmístění testovacích bodů se liší s každým novým telefonem, pouze u hodně blízkých modelů (např. X-7 a V75) může jejich zapojení být stejné. Sagem code reader používá při odblokování 4 testpointy - Rx, Tx, GND a časovač. Při odblokování musíte rozebrat telefon abyste se dostali k základní desce (patří sem i strhávání fólie pod klávesnicí protože potřebné testpointy se nacházejí i pod ní), napojit se na vybrané body, připojit kabel na systémový konektor, spustit komunikaci programu a zapnout telefon. Při napojování testpointů Vám pomohou speciálně vyrobené destičky, které na sobě mají přesně napájené jehly a jsou pomocí kabelu napojené na paralelní port PC. Destičku pak jen přitiskne silou tak aby jehly dosedly na testopointy na základní desce. Pokud destičku určenou pro konkrétní telefon nemáte (kabel je zakončený 4 jehlami) čeká Vás malé peklo. Budete totiž potřebovat zhruba šest rukou, trochu šikovnosti a spoustu trpělivosti :-). Udržet přitisknuté jehly na testpointech, zkratovat tlačítko pro zapnutí telefonu a spustit program je pro člověka který má na každé ruce pouze pět prstů opravdu tvrdý oříšek. Pokud se Vám to podaří přichází odměna ve formě komunikace programu Sagem code reader přímo s procesorem. Samotné vyčtení phoneID a odblokovávacího kódu je pak otázkou několika vteřin.



Program Sagem code reader byl velmi populární s novými modely Sagemu se objevovaly vždy nové verze (až do čísla 14). Sagem code reader se prodával za cenu kolem 10 000,- a v balení obsahoval vedle kabelu a destiček ještě tzv. dongle na paralelní port. Program při svém spuštění zkontroloval sériové číslo donglu a pokud bylo vše v pořádku tak normálně pracoval. Autoři se takto snažili chránit svůj produkt před kopírováním. Nebyly však příliš úspěšní, protože po krátké době se objevilo schéma donglu spolu s HEX souborem kterým se programoval čip Atmega 16L díky kterým bylo možné funkční dongle vyrobit.
V tu chvíli začala menší bitva autorů Sagem code readeru a lidí kteří takto klonovali - nové verze Code readeru byly poskytovány na základě originálního sériového čísla, dongly s kradenými sériovými čísly odblokovaly třeba jen dva telefony a bylo nutné je znovu programovat,... Objevil se také Sagem code reader switcher, který dovoloval vybrat si s kterou verzí Sagem code readeru chcete se svým donglem pracovat,... V brzké době po naklonování Sagem code readeru se objevily také klony flashovacího programu SagMaster a autoři se rozhodli ukončit jejich vývoj a podporu pro další telefony. V tu dobu přišel Sagem s novými základními deskami u svých telefonů - MY X5-2, V55, C-3b, C-4,... a nastalo opět období sucha pro odbloky, protože žádný z programů tyto modely nepodporoval.

Další čekací období
Dá se říci že existovaly jen tři možné techniky jak odblokovat Sagemy - pomocí bootstrap módu (dodnes se nepodařilo - je třeba prolomit šifrování pomocí dvou RSA klíčů), pomocí testpointů anebo pomocí programů a vybavení které používá přímo Sagem (nikdo ho nemá). Spousta lidí se proto vrhla na hledání testpointů a komunikace u nových telefonů. Najít vše potřebné nebyl příliš složitý problém, ale vybavení pro odblok se ještě dost dlouhou dobu neobjevilo. Všichní se zalekli možnosti klonování svých produktů a tak se snažili vytvořit co možná nejlepší ochranu proti kopírování. Zařízení na odblokování bylo v tuto dobu prodáváno za vysokou cenu jen největším unlockerům po Evropě. Díky nemalé částce kterou museli zaplatit byla jistota že nikdo z nich nezačne klonovat nové zařízení. Lidí kteří mohli odbloky provádět bylo jen pár a minimální množství telefonů které odblokovávali se pohybovalo ve stovkách.
Tato situace platila až do ledna 2005, v kterém se objevil program Sagem code reader II a chvílí po něm ještě SWS. Oba uměly odblokovat nejžádanější telefony X5-2 a V55 a jejich cena se při uvedení na trh pohybovala kolem 10 000,-. Několik týdnů po jejich vydání se objevil pro Sagem code reader II update, který po aplikaci umožňoval odblokování i dalších modelů - C-3b, C-4,... Nyní se situace stabilizovala - pro oba programy vychází updaty s podporou nových modelů. Právě teď má náskok SCRII který umí odblokovat i nejnovější kousek MY X-8. Ale v zákulisí se začínají objevovat informace o tom že jisté skupiny pracují na řešení nazývaném real cable solution, které by dovolovalo odblokování nových telefonů pouze po kabelu bez nutnosti rozebírání telefonu. Takže bitva stále pokračuje...
 
Komentáře, tisk, email upozornění:
Komentáře (1)
Tisk článku
Info email
 
Hodnocení článku:
Špatný článek (hlasováno 663x)
Normální kvalita (hlasováno 624x)
Dobrý až super (hlasováno 669x)
 
Související články:
Odblokování a počeštění Sagemů v létě 2006 (21.07.2006)
Odblokování Sagemu MY Z55 (29.08.2005)
Odblokování Sagemů - III. díl (14.07.2005)
Odblokování Sagemů - I. díl (28.02.2005)
Odblokování řady 922 a 920 s firmwarem 4.1X (10.03.2003)
Odblokování řady 922 a 920 (10.03.2003)
toplist

© TM 2005