类似美版 iPhone 卡贴机方法,在主板 usb 信号线焊接旁路检测芯片, 当检测到设备已经解锁就发送重启命令,或者劫持回锁指令,让售后无法正常刷机或者回锁。
剩下的就看演技了,质疑售后刷砖了要求立即归还手机。
================================
fastboot reboot :重启设备
fastboot oem lks :查看解锁状态(联发科) 0 解锁,1 未解锁
fastboot oem device-info :查看解锁状态(骁龙) true 解锁,false 未解锁
第 1 条附言 · 4 天前
实现原理:
usb 信号线焊接芯片,利用 fastboot 命令当检测到设备已经解锁就发送重启命令,让设备无法进入 FASTBOOT 进行回锁或刷机。
优化一下步骤:
1 、在主板的 USB 信号线焊接旁路检测芯片;
2 、拿去售后进行刷机,售后发现无法正常刷机就会跟你商量如何处理,终止维修要回手机即可;
3 、此时手机就是已解锁状态,且没有清除用户数据。
usb 信号线焊接芯片,利用 fastboot 命令当检测到设备已经解锁就发送重启命令,让设备无法进入 FASTBOOT 进行回锁或刷机。
优化一下步骤:
1 、在主板的 USB 信号线焊接旁路检测芯片;
2 、拿去售后进行刷机,售后发现无法正常刷机就会跟你商量如何处理,终止维修要回手机即可;
3 、此时手机就是已解锁状态,且没有清除用户数据。
第 2 条附言 · 3 天前
根据网友们的友好交流,我将这个方案或者称为思路进行重新整理和优化。
首先,“跑路解锁”事件发生后部分售后门店紧急加装了玻璃墙来杜绝抢夺手机的事件发生,我绝不相信今后小米对收紧解锁的行为会有所收敛,预言他们会后面的小米高考中变本加厉的报复玩机用户;
其次,抢夺手机容易发生人员受伤和财产损失等意外情况,社区中有人手机碎屏,甚至有人精神疾病发作;
第三,多位相关专业的网友指出手机内部没有足够的空间安置 usb 回锁检测芯片/模块,另外自带编程过的 usb 数据线去刷机也比较难实施;
第四,为什么非要解锁手中的小米手机,这别人讨论的问题而不是我要讨论的;
优化后的设计思路如下:
1 、根据不同的机型定制尾插小板,尾插小板中集成能够拦截回锁指令的模块,
2 、替换尾插小板后拿去售后降级刷机,使得手机无法进行回锁,
3 、通过沟通要回无法回锁的手机,这要看自己的口才和沟通能力。
我认为在未告知情况下不可能对手机进行拆机检测,另外因为无法回锁售后强行扣留手机也不合适。
4 、成功解锁后换回尾插小板,可以二次利用节约成本
其他思路:
1 、尾插小板能够保存解锁相关密钥数据,前提是小米手机解锁支持回放攻击。
有网友反馈保存了解锁数据可以对回锁的手机进行二次解锁。
2 、尾插小板能够伪造参数告诉服务器已经回锁。
总之,现在小米解锁大家各显神通,有人高考、有人体育特长、有人花钱买通内鬼(咸鱼¥ 1600 )、有人“智取”,
且行且珍惜。
首先,“跑路解锁”事件发生后部分售后门店紧急加装了玻璃墙来杜绝抢夺手机的事件发生,我绝不相信今后小米对收紧解锁的行为会有所收敛,预言他们会后面的小米高考中变本加厉的报复玩机用户;
其次,抢夺手机容易发生人员受伤和财产损失等意外情况,社区中有人手机碎屏,甚至有人精神疾病发作;
第三,多位相关专业的网友指出手机内部没有足够的空间安置 usb 回锁检测芯片/模块,另外自带编程过的 usb 数据线去刷机也比较难实施;
第四,为什么非要解锁手中的小米手机,这别人讨论的问题而不是我要讨论的;
优化后的设计思路如下:
1 、根据不同的机型定制尾插小板,尾插小板中集成能够拦截回锁指令的模块,
2 、替换尾插小板后拿去售后降级刷机,使得手机无法进行回锁,
3 、通过沟通要回无法回锁的手机,这要看自己的口才和沟通能力。
我认为在未告知情况下不可能对手机进行拆机检测,另外因为无法回锁售后强行扣留手机也不合适。
4 、成功解锁后换回尾插小板,可以二次利用节约成本
其他思路:
1 、尾插小板能够保存解锁相关密钥数据,前提是小米手机解锁支持回放攻击。
有网友反馈保存了解锁数据可以对回锁的手机进行二次解锁。
2 、尾插小板能够伪造参数告诉服务器已经回锁。
总之,现在小米解锁大家各显神通,有人高考、有人体育特长、有人花钱买通内鬼(咸鱼¥ 1600 )、有人“智取”,
且行且珍惜。
 |
1
sunulin 5 天前
今天刚刷的视频 一个老哥在售后跟前 看解锁了 抢着手机就跑了
|
 |
3
winzkh 4 天前
我还有一计,和售后串通起来,将小米解锁工具的 fastboot 劫持以做到重定向解锁文件(我印象中是有第三方开源的解锁工具,不是那个绕过 hyperos 限制的),降级完回锁之后再用 fastboot 刷入解锁文件
|
 |
4
angrylid 4 天前  5
快进到售后窗口装铁丝网/刷机要交押金
|
 |
5
moefishtang 4 天前
上次手机砖了( Redmi K80 ),去售后刷机。售后小哥跟我说要拆机才能刷(然后刷完后还要装回重做防水)
这样在小板信号线附近的改装会被发现的吧... |
 |
6
mohumohu 4 天前 2
这是分享还是臆想,你说的这个“方案”开发成本怕不是比闲鱼远程解更高
|
 |
8
User2023 OP @moefishtang 发现了就拒绝维修呗,反正已经解锁了,我又没同意拆机维修,而且售后也有理由拒绝维修,大家各得其所。
|
|
10
User2023 OP @winzkh 现代加密系统能进行回放攻击的不多了,而且还要小米工程师配合你使用第三方软件
杜绝回放攻击简单流程: 1 、手机生成一个密文,发送到服务器; 2 、服务器解密后再生成解锁密钥,传给 FASTBOOT 进行解锁 这个过程生成的解锁密钥不能被二次利用 |
 |
11
processzzp 4 天前 via iPhone
@User2023 有个地方好像不对,解锁/回锁都是会自动清除数据的吧?
|
|
12
mohumohu 4 天前
感觉 OP 是黑客电影看多了导致的,你要说“分享方案”,我对嵌入式开发虽然一知半解,你倒是说说用什么芯片实现,至少给个原理图,我倒要看看是什么芯片能塞得下手机还有 MITM 功能,最好你画个板给大家看看。
|
|
13
User2023 OP @processzzp 看社区有些人在米家跑路解锁拿到手机没有清除数据
|
|
14
User2023 OP @mohumohu 这是一个很好的质疑,你一定没用过美版 iPhone 卡贴机吧?以下 AI 总结
🔧 技术原理详解: 1. iPhone 网络锁( SIM Lock )机制 iPhone 原本只能使用绑定运营商的 SIM 卡(比如美国 AT&T ),其他运营商的卡会提示“SIM 不受支持”或“No Service”。 2. 卡贴的作用 卡贴是一种超薄芯片板,贴在 SIM 卡下方或一体集成,与 SIM 卡一同插入 iPhone 。 3. 工作方式: • 当 iPhone 开机后,基带( Modem )芯片会读取 SIM 卡中的运营商信息( IMSI 、ICCID 等)。 • 卡贴在这过程中拦截并修改这些信息,将非支持的卡模拟成 iPhone 支持的运营商卡(例如美国 T-Mobile )。 • iPhone 基带芯片被「骗」了,以为插入的是原配卡,因此不再限制使用。 4. 伪装内容可能包括: • ICCID (集成电路卡识别码) • IMSI (国际移动用户识别码) • GID1 、GID2 (用于进一步验证) |
|
15
winzkh 4 天前
@User2023 #10 似乎小米的这个解锁 token 是可以回锁后重新使用的
而且我搜索了下 似乎有这样的工具: https://github.com/Maxpnl/Xiaomi-Unlocker-Fake-Fastboot |
 |
17
realfatboy 4 天前 1
老老实实买一加不好吗?
|
|
18
User2023 OP @mohumohu 不需要中间人攻击,只需要旁路发送指令进行检测,电脑和手机直连不需要额外 usb 控制器做中间人,同理 iPhone 卡贴也没有集成 5G 芯片
|
 |
20
fredcc 4 天前
猜能不能给这种行为定个非法获取计算机信息系统数据罪
|
|
21
User2023 OP @mohumohu 来自 AI 生成
芯片 封装大小 功能 RP2040 QFN-56, 7×7 mm 双核 MCU ,内建 USB 控制器 USB PHY (如 USB3300 ) QFN-32, 5×5 mm USB ULPI 接口 EEPROM / Flash SOT-23-5 或更小 存储代码(可集成) 总面积 约 12mm × 12mm (贴片板) 可贴在手机主板边缘或 USB 通道之间 |
 |
26
RikkaW 4 天前 20
现在的人们听 AI 胡说八道就以为自己什么都会了(
你这个想法 硬件上:需要一个带有 USB 主机的单片机(是否需要 USB HS 还不知道),需要 USB 所以需要外置晶振——显然你的手机里没有这么大空间 软件上:跑 USB 主机协议栈,实现“转发”——这个工作量想想就恐怖 不要臆想你能“抓数据”,“抓数据”对应的是 USB 协议分析仪,它里面是要塞 FPGA 的,并且需要电脑配合 |
 |
27
xuejianxianzun 4 天前
你主楼说的方法,是你自己试过,还是有人自制成功了分享的?别是脑测的吧
|
|
28
User2023 OP @mohumohu 换一个经济的方案,换掉尾插小板,去售后解锁完再回收给下一台同型号手机循环使用。我就不信比¥1600 内鬼解锁要比可重复利用的尾插小板经济实惠。
|
|
29
User2023 OP @xuejianxianzun 社区内跑路解锁 BL 方法有多人成功了,也有人手慢被回锁或者手快还没解锁的,甚至有人发帖说变砖或者屏幕碎了。这样太考验反应速度体力还不体面,所以在构想通过劫持 fastboot 方案在售后进行解锁。
|
 |
30
mxmotao 4 天前 via Android
换尾插小板是什么鬼,那就是一条线,解不解锁也不会有变化
|
 |
31
wegbjwjm 4 天前 via iPhone
@realfatboy 一加解锁刷机可以去哪里学习吗,我之前都是小米,哪些方面的资源,找了个 qq 群还被拒了,目前看来一加会有信号和相机方面的问题,正在寻找学习资源
|
 |
32
TiDragon 4 天前
雷军,你的的初心呢?让我们再次为发骚而生……
|
 |
33
leo72638 4 天前 via iPhone
感觉还是跑路更直接
|
 |
34
xieqiqiang00 4 天前 via Android
真以为小米不能封堵这个漏洞吗
人家直接开发个内部的不解锁降级工具呢 |
 |
35
jzphx 4 天前
换个思路,卖掉换个能解 bl 的。
|
 |
36
CloudyKumori 4 天前
感觉发烧友还是买一加方便点...
|
 |
37
sir283 4 天前
op 还没成年,纯意淫,且不说你这个方案是否可行,就你说的那一套东西,一套下来都能买台新机了,何必呢?而且小米红米的机型保有量又大,每个版本的锁 bl 方案又不相同,售后解锁也是联网下载分发的解锁文件进行解锁的,你要怎么做到统一呢?而 iPhone 那是全球都一个配置,一个型号,破解起来就容易点,iPhone 在国外还便宜,几百块钱美元就能买到了,成本略低。
|
 |
38
selca 4 天前 1
别买小米就行,我用过好几代小米了,全都是解锁的。
现在不能解锁,就换能解锁的品牌,用脚投票就行。我父母的手机也不可能再买小米了 |
 |
40
Zy143L 4 天前
你这说的..还不如跑路法呢..
|
 |
41
goodryb 4 天前
你这不叫方案,顶多叫个思路或者想法
|
 |
42
Mr54 4 天前
雷军忘了初心了都,忘了谁给他托举起来的
|
 |
43
AoEiuV020JP 4 天前 via Android
这种埋雷法,我不觉得小米售后连这点问题都发现解决不了,
|
 |
44
letwewell 4 天前 1
我选择买一加,随便解
|
 |
45
jciba5n4y6u 4 天前
高架上拉屎还知道打个伞,不得不说小米用户素质高,尊重规则有羞耻心。
另外,自己的手机解个锁还要耍猴,不愧是雷总的粉丝。 我用的洋垃圾 LG ,一直是 root 状态,几百块备用机爽得很。 |
 |
46
robinchina 4 天前
解锁除了刷第三方之外,还有什么好玩的么?
|
 |
47
lambdaq 4 天前
小米要不弄个脱保解锁吧。大家都省心。
|
 |
49
ynxh 4 天前
没必要,拆机还得重做防水。得不偿失,工具而已,耐用才是第一
现在各家都在收紧,解锁越来越难了,无所谓了 |
 |
50
yiqiao 4 天前
我也看了那个帖子好像把手机摔了。不知道是不是同一个帖子
谁还记得「为发烧而生」 slogan ,现在是为了强推他的新系统把 BL 限制了把。狗屎系统 个人建议换能随便解的。如上边说的一加 |
 |
51
yolee599 4 天前 via Android
@RikkaW #26 手机里面空间塞不下,那可以换个思路,把手机的 USB 座子飞线魔改一下,比如 DM 和 DP 两根线对调。USB 拦截可以自己做一根数据线,USB 分析芯片集成到 USB-A 那头,体积大点也不会被怀疑。等拿到店里解锁的时候使用他们店里的数据线必然是无法进行操作,这时候就可以以手机接口比较松接触不良为由换上自己魔改的数据线,检测到回锁指令就拦截掉。
|
 |
52
yokisama 4 天前 via Android
售后:《我们都在努力的活着》
|
 |
55
Nitsuya 4 天前
@xieqiqiang00 #34 高通 9008, 实际上是有的~ 有些店是用的这种模式写的~ 跑路要盯着屏幕看第一屏是否出现了解锁 logo, 然后趁不注意, 拔下就跑~ 用 9008 写如果拔了,回去自己救不回来, 现在 9008 也要授权.
|
 |
56
HtPM 4 天前
太麻烦了哥们儿,我建议不买小米手机
|
 |
57
Tink PRO 我没明白,你加了芯片之后后盖怎么盖上呢?手机里面空间那么小,还要解决供电跟时钟的问题
|
 |
58
aureole999 4 天前
感觉不如自己去应聘小米售后工程师,然后就可以随便刷了(
|
 |
59
sks4728 4 天前
做事讲成本的, 没有实际意义
|
 |
61
cyningxu 4 天前 via Android 1
我觉得火箭得用水洗煤
|
 |
62
01802 3 天前 via Android
楼主你好歹有点基础再来有大致方案,现在这是纯瞎想啊
|
 |
63
hqt1021 3 天前 via Android
工单三天内必须回锁 不回🔒扣 1k 怎么可能和你协商刷坏了
|
 |
65
neroxps 3 天前
emmm 为了解锁你们也真是无所不用其极哈哈
|
 |
66
zyp38263547 3 天前
@User2023 既然 ai 都告诉你用什么 mcu 了。不如继续追问,把 rp2040 如何电 switch 绕过安全启动的方式问出来,还要什么售后。
|
|
67
User2023 OP @xieqiqiang00 确实,有点厂是限时降级解锁,或者降级不用解锁。现在小米降级必须解锁,且行且珍惜。
@mxmotao 你没有理解,替换尾插小板,利用尾插小板的空间重新设计尾插小板,在其中集成 usb 劫持模块,可以多次使用降低成本。 @Zy143L 售后开始加装玻璃墙了 @AoEiuV020JP 赌 @robinchina 去云控/监控,模块什么的 @yolee599 难说你能把自带的线插到他的电脑上,看你演技 @zyp38263547 这里只讨论可行性,怎么实现要看工程师了 @Tink 确实没看考虑到现有的工艺做不了这么小,考虑一下用尾插小板的空间来做设计的可行性,或者自带检测芯片的数据线 @01802 倾听您的见解 @lambdaq 小绿书编辑放出来的风声说弃保解锁会被别用心的人利用 @RikkaW 考虑一下尾插小板的空间够不够,或者使用 usb 数据线塞下这些芯片 |
|
68
moefishtang 2 天前 via Android
@User2023 我感觉不太可行,技术可行性暂且不论。硬件改装很难不被小米售后人员发现,你得收买售后人员配合你对小米的解锁信号进行抓包
另外解锁密钥下发到售后电脑上这一步是通过网络传输的,你这个方案的难度不亚于在售后人员电脑上投毒,抓包获取密钥了 |
|
69
User2023 OP @moefishtang 设计上只能抓传输到我手机上的解锁密钥,不涉及入侵他人信息系统
|
 |
70
phcbest 1 天前
这个方案实现起来还没有你自己去面试去做小米售后来的简单靠谱
|
Select Language