Lamiyi

数日が経ち、NORダンプをいじる機会に恵まれました。私たち全員、そして開発チームもそうだと思いますが、一つ問題があります。それは、あの忌々しい3G Infineonチップです。Geohotがこの件について話してくれたのは嬉しいです。誰もこのチップについて語らないのではないかと心配していました。確かに、このチップは彼が言うほど複雑です。そして、このチップにアクセスできなければ、ロック解除は事実上不可能です。

-----
3GブートローダーはブートROMによって署名チェックされています。そのため、NORを削除し、ブートローダー（メインファームウェアの署名チェックを削除）とメインファームウェアにパッチを適用しても、ロック解除は機能しません。NORをダンプして確認してくれたTA_Mobileさんに心から感謝します。本当に素晴らしいスキルをお持ちです。

使用されているチップはX-Gold 608です。Infineonが提供してくれた「データシート」には、ハードウェアRSAとセキュアブートROMが記載されています。つまり、深刻な問題です。たとえ、以前の2つのブートローダーではソフトウェアで実行されなかった、署名なしコードの脆弱性（NORを使ったトリックを発見しました）が見つかったとしても、ロック解除はできません。

ブートローダーはダウンロードできませんが、実際には何も入っていません。このブートローダーには対話モードの機能は含まれておらず、以前のブートローダーに非常によく似たスタブ（ただし署名チェックあり）のみが含まれています。対話型ローダーはすべての fls および eep ファイルの末尾に追加され、0x86000 にロードされます。BBUpdaterExtreme には複数の RAM ローダーも含まれていますが、使用されているのはアップデートファイル自体のものだと思います。ベースバンドで動作させるためにブートローダーは必要ありません。RAM ディスク上のファイルのみが必要です。また、ブートローダーが使用する 2 つの RSA キーは 3.9 または 4.6 から変更されていないため、これらも必要です。

2.0でCommCenterを停止するとWi-Fiも停止するため、ベースバンドの操作が少し難しくなります。対話モードへの移行は、リセット前にカーネルを呼び出してI/Oピンをセットすることで行われるようになりました。

これに対処するための最初のステップは、ブートROMをダンプすることです。任意のメモリをダンプするためのエクスプロイトが必要です（場所は問いません）。そうすれば、新しい「セキュア」ブートROMである0x400000をダンプできます。
-----