Посоветуйте не дорогую андроид приставку.

  • 21 Ответов
  • 9902 Просмотров
*

Оффлайн ядер

Цитата(admin от Четверг  06 Мая 2021, 16:10:18)  Цитата
Ага. Путаю. У меня такая приставка о которой пишуУ меня X96 Max Plus2 4/32 стоит прошивка 0.4.0 от Ugoos X3 Pro 4/32Gb. Цена 3.600
А сколько стоит Ugoos X3 Pro 4/32Gb?
Не может быть! Загрузчики и ядра разные! Может от очередного нонейм угос таких тоже хватает!
P.S. Сей час нонеймы за 3,600 такие как у вас продаются,а нормальные так и стоят как угос!



 
Сказали Спасибо: motor1960



*

Онлайн admin

  • Администратор
  • *
  • 16.695
  • Понравилось 29.842 раз
  • Пол: Мужской
    • Спутники которые я принимаю 30W° - 95Е°
      Мой тюнер Amiko SHD-8900 Alien и X96 Max Plus2 с IPTV
Цитата(ядер от Четверг  06 Мая 2021, 16:12:54)  Цитата
Не может быть! Загрузчики и ядра разные! Может от очередного нонейм угос таких тоже хватает!
Может. И не такое может.
И загрузчик. И ядро от угоса. И все плюшки от угоса работают. Шумодав,AFR. Прикинь.



 
Сказали Спасибо: motor1960, scorpion


*

Оффлайн ядер

Цитата(admin от Четверг  06 Мая 2021, 16:18:24)  Цитата
Может. И не такое может.
И загрузчик. И ядро от угоса. И все плюшки от угоса работают. Шумодав,AFR. Прикинь.
P.S. Сей час нонеймы за 3,600 такие как у вас продаются,а нормальные так и стоят как угос!
Да даже если и так как вы пишете долго он проработает мне интересно! Не удевлюсь что даже вы уже на нём баги вылавливали и не раз :) а это уже ведёт железо к смерти!
Ссылку дайте на 3600? Может распродажа или избавляются по закупочной цене! но скорей всего нонейм!



 
Сказали Спасибо: motor1960


*

Онлайн admin

  • Администратор
  • *
  • 16.695
  • Понравилось 29.842 раз
  • Пол: Мужской
    • Спутники которые я принимаю 30W° - 95Е°
      Мой тюнер Amiko SHD-8900 Alien и X96 Max Plus2 с IPTV
Цитата(ядер от Четверг  06 Мая 2021, 16:12:54)  Цитата
Сей час нонеймы за 3,600 такие как у вас продаются,а нормальные так и стоят как угос!
X96 Max Plus2 это ноунейм?
Не смеши :hahaha:
Цитата(ядер от Четверг  06 Мая 2021, 16:21:20)  Цитата
Да даже если и так как вы пишете долго он проработает мне интересно! Не удевлюсь что даже вы уже на нём баги вылавливали и не раз :) а это уже ведёт железо к смерти!
Долго и нудно. Первый X96 Max уже больше года на прошивке Ugoos-a работает. Последнюю прошивку собирал лично сам распотрошив прошивку Ugoos-a :dirol:



 
Сказали Спасибо: motor1960, scorpion


*

Оффлайн ядер

Цитата(admin от Четверг  06 Мая 2021, 16:24:47)  Цитата
X96 Max Plus2 это ноунейм?
Не смеши :hahaha: Долго и нудно. Первый X96 Max уже больше года на прошивке Ugoos-a работает. Последнюю прошивку собирал лично сам распотрошив прошивку Ugoos-a :dirol:
Чёрт возми... Одна flesh самсуг на 32 Гб стоит 2800 руб, Озу 4 Гб 2650 руб + проц + остальные модули + сборка-упаковка! Вы о чём? Очередном хламе нонейм? Многие из них с магазина не включаются! Человек купитит Гов... потом будет писать насоветовали...
Что с ссылкой то?



 
Сказали Спасибо: motor1960


*

Онлайн admin

  • Администратор
  • *
  • 16.695
  • Понравилось 29.842 раз
  • Пол: Мужской
    • Спутники которые я принимаю 30W° - 95Е°
      Мой тюнер Amiko SHD-8900 Alien и X96 Max Plus2 с IPTV
Цитата(ядер от Четверг  06 Мая 2021, 16:31:44)  Цитата
Чёрт возми... Одна flesh самсуг на 32 Гб стоит 2800 руб, Озу 4 Гб 2650 руб + проц + остальные модули + сборка-упаковка! Вы о чём? Очередном хламе нонейм? Многие из них с магазина не включаются! Человек купитит Гов... потом будет писать насоветовали...
Что с ссылкой то?
На тебе уже скрины и успокойся.Даже твоя любимая флешь самсунга :hahaha:
Меню не знакомо?
 
Screenshot_20210506-163330.png
*Screenshot_20210506-163330.png
(103.76 КБ, 1920x1080)
(просмотрено 160 раз)
 
Screenshot_20210506-163352.png
*Screenshot_20210506-163352.png
(480.7 КБ, 1920x1080)
(просмотрено 146 раз)
 
Screenshot_20210506-163405.png
*Screenshot_20210506-163405.png
(475.24 КБ, 1920x1080)
(просмотрено 144 раз)
 
Screenshot_20210506-163433.png
*Screenshot_20210506-163433.png
(482.03 КБ, 1920x1080)
(просмотрено 153 раз)

Фото приставки висящей за теликом сделать чтобы уже окончательно успокоить?



 
Сказали Спасибо: motor1960, scorpion


*

Оффлайн ядер

Цитата(admin от Четверг  06 Мая 2021, 16:37:38)  Цитата
На тебе уже скрины и успокойся.Даже твоя любимая флешь самсунга :hahaha:
Меню не знакомо?
 
Screenshot_20210506-163330.png
*Screenshot_20210506-163330.png
(103.76 КБ, 1920x1080)
(просмотрено 160 раз)
 
Screenshot_20210506-163352.png
*Screenshot_20210506-163352.png
(480.7 КБ, 1920x1080)
(просмотрено 146 раз)
 
Screenshot_20210506-163405.png
*Screenshot_20210506-163405.png
(475.24 КБ, 1920x1080)
(просмотрено 144 раз)
 
Screenshot_20210506-163433.png
*Screenshot_20210506-163433.png
(482.03 КБ, 1920x1080)
(просмотрено 153 раз)


Это вы с прошитого от угоса скрины сделали?
Я могу с нонейн планшета даже с аиды фейковые значения снять так же китайци научились програмы обманывать!
Вы boot мне с бокса скиньте раз прошивку пересобирали под угос я гляну по ядру.
P.S. У угоса тоже есть...
Оперативная память – 2 / 4 Гб
Постоянная память – 16 / 32 / 64 Гб



 
Сказали Спасибо: motor1960


*

Онлайн admin

  • Администратор
  • *
  • 16.695
  • Понравилось 29.842 раз
  • Пол: Мужской
    • Спутники которые я принимаю 30W° - 95Е°
      Мой тюнер Amiko SHD-8900 Alien и X96 Max Plus2 с IPTV
Цитата(ядер от Четверг  06 Мая 2021, 16:44:37)  Цитата
Это вы с прошитого скрины сделали?
Я могу с нонейн планшета даже с аиды фейковые значения снять так же китайци научились програмы обманывать!
Вы boot мне с бокса скиньте раз прошивку пересобирали под угос я гляну по ядру.
Это с прошитого,тот что уже не один месяц показывает...
Под спойлером прочитай,много текста,для ликбеза
Спойлер
VortexFebruary 28, 2021

   Так уж получилось, что в тему ТВ-боксов я пришел сравнительно недавно - около года назад. Мной двигал не сам интерес к приставкам, сколь желание более детально разобраться в андроид-устройствах.

Начав с одного устройства на процессоре Amlogic, я быстро погрузился в увлекательный процесс создания кастом-прошивок, набирая необходимые знания.

Уже очень скоро я понял, что на рынке ТВ боксов есть свои лидеры и аутсайдеры, есть крайне полезные программы и "фичи", которыми хотя бы минимально должна обладать каждая приставка, иначе она попросту обречена на провал.

Из китайских ТВ-приставок почти все в один голос рекомендовали продукцию фирмы Ugoos и я, поддавшись рекомендациям, приобрел AM6 Plus. Покупка была омрачена тем, что полученная AM6 в силу каких-то "непредвиденных обстоятельств" оказалась немного не с теми характеристиками, но сейчас речь не об этом. Тогда, найдя для себя несколько особенно важных фич, я примерно понял, что хочу сделать.

Появился интерес портировать прошивку от Ugoos на ту свою, первую приставку, но опять же по слухам, что у AM6 присутствует какая-то непробиваемая защита и что я обязательно получу кирпич даже от одной мысли сделать порт, я не брался за это дело как минимум полгода.

А король-то голый!
   Понимание этого пришло после того, как я приобрел TOX1 с прошивкой от того-же Ugoos. Хоть они это тщательно скрывали, разобрав ядро и сверив сигнатуры, я понял, что у ПО приставок один и тот же создатель.

Параллельно подключив UART и сняв Bootlog, распаковав DeviceTree и проанализировав ядро, я выяснил, что в приставке активно ведется работа с неким ugoos_hwid, а в модулях присутствуют процедура проверки hwid_check.

Тут надо понимать, что ядро и модули актуальной на тот момент прошивки 0.3.7 было собрано со всей отладочной информацией, поэтому получить чуть-ли не исходник в IDA было проще пареной репы. Огромной ошибкой ugoos я считаю было оставить говорящие названия процедур и функций.


HWID оказался фИговым листком
Проанализировав логику работы модуля ugoos_hwid, я пришел к выводу, что он основан на опросе по I2C некого чипа, физически присутствующего на платах угоса и получения ответа от него. При отсутствии чипа и ответа, приставка уводилась в ребут - вызывала bootloop.

Обойдя одну единственную проверку в hwid_check (потребовалась замена всего одной инструкции), я запустил прошивку на своём устройстве.

Хьюстон, у нас проблемы
   Фирма Ugoos, прежде полностью игнорировавшая вопросы защиты и безопасности своей прошивки, почувствовала, что запахло жареным и начала судорожно прикручивать контрмеры. Я, как огромный поклонник "Cat-Mouse Game", только приветствовал этот шаг. Если бы Ugoos не подбрасывала мне интересные задачки, я бы быстро потерял интерес к их прошивке и тема бы исчерпала себя, но они решили иначе.

Первым делом, они закрыли доступ к ядру, применив симметричное шифрование AES как самого vmlinux, так и модулей. Расшифровывалось ядро им же самим, при загрузке zImage. Параллельно, ядро лишили отладочной информации (KALLSYMS) и вывода в консоль (PRINTK).

Обойти такого рода шифр не составило труда - достаточно было просто посмотреть код в IDA, восстановить имена процедур с помощью Rizzo Signatures, найти ключи и распаковать AES. Раздобыв Amlogic SDK, я быстро научился собирать модули ядра под новую конфигурацию.

Тогда в своей версии 0.3.9, Ugoos пошла на отчаянный шаг - она применила аппаратные методы защиты, предоставляемые самим SOC Amlogic.


Что бы нам еще зашифровать???
Эти методы заключаются в следующем - в SOC присутствует однократно-программируемый блок памяти, называемый EFUSE, он имеет длину 4096 бит (512 байт), в который можно записать признак активации различных SecureBoot опций и ключей шифрования с тем, чтобы было невозможно получить доступ к несанкционированному изменению ПО Устройства и тем самым украсть контент. Именно от изменения и вторжения в процесс загрузки и соответственно для предотвращения доступа к видео-контенту и была реализована эта опция. Применяется она именитыми производителями обычно лишь в сертифицированных приставках как одно из важных условий для получения сертификации. В боксах без сертификации, к коим принадлежит Ugoos, ничего кроме как паники и неудобств со стороны пользователей включение SecureBoot не вызвало.

Алиса в Зазеркалье
   Загрузка SOC Amlogic начинается с BootROM - масочного ПЗУ, в котором записана процедура первичной инициализации EMMC, SD-карты, USB (для загрузки с USB) и анализа EFUSE на предмет включенного SecureBoot (шифрования). Найдя флаг SB включенным, CPU может считать и запустить из EMMC, SD или USB только зашифрованные и подписанные бинарники. Отсюда возникает необходимость загрузки только зашифрованных прошивок. Стереть флаг SB из EFUSE нельзя (запись однократная, применяется физическое прожигание дорожек). Защита весьма стойкая, пробивать ее "в лоб" смысла особого не имело и по совету OT.DO // Kam_58, я занялся изучением другого направления.

Дело в том, что прошить EFUSE можно двумя путями 1) на заводе-изготовителе при первичном программировании приставки. 2) с помощью программы на уже работающем устройстве. Именно второй метод меня заинтересовал - раз югос прошивает ключи на стороне Пользователя, значит они должны где-то храниться в ПО.

OTA-обновление 0.3.8.1-0.3.9 было совсем маленьким. Оно содержало помимо самого обновления, специальный раздел _recovery.img, который грузился, вероятно шифровал приставку, затем она загружалась уже зашифрованной и устанавливала обновление. Распаковав ядро из _recovery.img, мои предположения подтвердились.

Чтобы понять, как все устроено, немного отклонюсь от темы. Это эссе не претендует на полноценный writeup, поэтому, чтобы вам было интересно, позволю себе выразить мысль немного лирически.


Разбираем утюг
Для обеспечения необходимой безопасности, SOC Amlogic функционирует как бы с двух мирах одновременно - это т.н. Secure World (SW) (или TrustZone или "зазеркалье") и Normal World (NW), где выполняются наши программы. SW неимоверно защищен. Он занимается шифрованием, расшифровкой, проверкой подписи, HDCP и другими DRM (тем же Widevine L1). Его код разрабатывает сам Amlogic, он закрыт и подписан их ключами и никто не может его изменять. Дорога в "зазеркалье" ведет через один ход, т.н. "кроличью нору" - ARM SMC #0 команду (Secure Monitor Call), которая работает как некое подобие почтового ящика. Работа с EFUSE ведется тоже так. И так уж заведено, что если я хочу зашифровать приставку на лету, мне нужно обращаться за этим в "зазеркалье" - положить "письмо" с данными для ППЗУ в ящик (вызвать SMC). Secure Monitor прочтет его, проверит подписи и если все OK, прожжет фьюзы. Найдя такой вызов SMC в ядре _recovery.img, я прифигел - насколько угос не хотела, чтобы исследователь нашел это место и расшифровал послание (браво, угос, обфускатор массива данных вы освоили). Я немного отложил дальнейшие исследовани до окончания разработки одного важного инструмента, который впоследствии изменит правила игры...

Into The Breach
   В середине февраля, я наткнулся на статью очень продвинутого хакера по имени Frédéric Basse, занимающегося вопросами безопасности чипов. Вот она:

amlogic-usbdl : unsigned code loader for Amlogic BootROM

Согласно его исследованиям, в чипе Amlogic S905D3 и S905D3G, применяющихся в Khadas VIM3L и Chromecast With Google TV (в народе "мухобойка") им была открыта уязвимость в BootROM, позволяющая запускать любой неподписанный код, а также разработан эксплоит этой дыры. Вкратце там используется многократное заполнение USB буфера и затирание стека загрузчика BL1 специально подготовленными данными, что приводит к запуску любого кода на самом раннем этапе загрузки (еще до включения зазеркалья-SecureWorld, контролирующего всё и вся). Frederic использовал эту дыру для снятия дампа BootROM, а также для запуска дистрибутива Linux на мухобойке.


Примерно так выглядит защита SOC Amlogic.
Я предположил, что S905D3 и S905X3 идентичны, и c минимальными правками запустил эксплоит Фреда на X3 Cube. Сняв дамп загрузчика адресу 0xFFFFF000, я нашел в нем адрес EFUSE (ППЗУ) - 0xFFFFE000. И так как на этом этапе загрузки нет никаких мер защиты памяти, я сделал и его дамп. Вот он - краеугольный камень защиты приставок X2, X3, AM6 и TOX1 - ключ AES-256-CBC шифрования:

0BD5BD4881ECFC8F6BDB006767BA961261C649EFB5B14AA38BC9DB9FE5286AA3, IV=0
Да-да, вы не ослышались, по досаднейшей ошибке (или, как обычно,  дилетантскому подходу к задаче и лени) Ugoos он использован ОДИН на ВСЕХ их моделях приставок и мне даже не пондобилось доставать с антресоли AM6 или искать TOX1, чтобы провернуть процедуру поиска ключа и на них.

Помимо AES ключа, из EFUSЕ был извлечен открытый RSA ключ для проверки подписи, а также другие Root-ключи и флаги.

Endgame
   Раскриптовав загрузчик и его производные до чистого vmlinux я был удивлен лишь тем фактом, что, Ugoos не удовлетворилась "стандартной" защитой SecureBoot и поназашифровывала все что только можно и, как матрешка, по нескольку раз. Это должно было в край остановить всех и вся, а также добавить пару драгоценных секунд к загрузке приставки так и "порадовать" Пользователей скоростью работы :-) Вы ведь все знаете, что под защитой Denuvo игры работают более тормозно, так и тут, фирма заботилась лишь о сохранности своих хау-ноу, положив болт на Юзера.

И тут я вернулся к окончательному написанию и доработке важного инструмента - Эмулятору Amlogic SOC на базе бесплатного qemu. Благодаря этому эмулятору запущенному на ПК, можно загружать любой код для приставки, выполнять его пошагово (трассировать), останавливать в любом месте, делать дампы памяти, регистров итд. Т.е. делать все то, что на реальном железе без JTAG делать затруднительно. Чтобы угос теперь не сделала с кодом, эмулятор может протрассировать его до любого места, остановить и сделать дамп памяти.


Сопротивление бесполезно!
Загрузив ядро в эмулятор, я получил plaintext-Версию, все его модули без шифрования и прочих тормозов.

Итог
А в итоге мы имеем то, что имеем:

Ugoos из-за своей жадности, дилетантизму, лени и вере в исключительность получила много головной и попаболи. Им придется осознать тот факт, что их усилия по включению SecureBoot были напрасны, а главный бастион их защиты пал. Как считает Юрий-морячок-Юрьев, это закалит фирму и в последствии она создаст еще лучшую прошивку. Главное, нужно понять, что любая защита должна быть адекватна и не вредить Пользователю.

Я получил богатый опыт в изучении приставок на Android, методов их защиты, принципах работы ARM SecureBoot и TrustZone, а также в создании инструментов для решения мелких насущных задач, начиная "кухней" для разборки-сборки прошивок и заканчивая настроенным qemu.

Пользователи Ugoos, получили массу неудобств из-за неверных решений фирмы, которой они доверяли.

Пользователи различных других китайбоксов - лучшую прошивку на рынке для своей приставки. Если это хоть как то вас порадовало, значит это было не зря. До новых встреч.
Enjoy.
[свернуть]
Так что разобрали ПО от Ugoos.И приличное время тому назад разобрали.Это так сказать итоговый отчет
Если китайбокс подходит по параметрам железа то работает ПО от Ugoos как на родной приставке как милое...

Подумал(a) и добавил(a): Четверг  06 Мая 2021, 18:20:04
Цитата(ядер от Четверг  06 Мая 2021, 16:21:20)  Цитата
Ссылку дайте на 3600? Может распродажа или избавляются по закупочной цене! но скорей всего нонейм!
Про ссылку пропустил,извиняюсь
Вам потребуется следующее, чтобы просмотреть скрытый текст:

Но при покупке смотреть надо на железо,правильное железо есть на скрине моем выше.
С правильным железом стоит дороже как правило.



 
Сказали Спасибо: motor1960, scorpion, ядер


*

Оффлайн ядер

@admin,  тогда уж этот брать
Вам потребуется следующее, чтобы просмотреть скрытый текст:



 
Сказали Спасибо: admin, motor1960
« Последнее редактирование: Четверг 06 Мая 2021, 21:29:11 от scorpion »


*

Онлайн admin

  • Администратор
  • *
  • 16.695
  • Понравилось 29.842 раз
  • Пол: Мужской
    • Спутники которые я принимаю 30W° - 95Е°
      Мой тюнер Amiko SHD-8900 Alien и X96 Max Plus2 с IPTV
Цитата(ядер от Четверг  06 Мая 2021, 21:11:46)  Цитата
тогда уж этот брать
    ТВ-приставка VONTAR X3 Android 9 Smart Android ТВ-приставка 9,0 Amlogic S905X3 Wifi 1080P BT 4K телеприставка 4 Гб 32 ГБ
А чем лучше?Одно и тоже,по некоторым параметрам даже хуже.Только что разве магазин от Vontar,я там так же заказывал.Но в последнее время и на этот магазин уже есть пачка жалоб что написано одно а вот присылают либо память Тошиба которая имеет ряд проблем и ограничений при установке портированных прошивок,либо модули вай-фай и блютуса проблемные...Я на этом магазине так же подкалывался несколько раз когда заказывал одно а присылали по факту совсем другое...Так что беру с небольшой переплатой но там где уже будет точно что заказал то и взял.



 
Сказали Спасибо: motor1960, scorpion, ядер


Нельзя оставлять сообщения, пожалуйста Войдите или Зарегистрируйтесь.
 

Кто онлайн

Просматривают тему:
0 Пользователей и 1 Гость