V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
User2023
V2EX  ›  Android

分享一个小米不用跑路解锁 BL 的方案

  •  1
     
  •   User2023 · 37 天前 · 9833 次点击
    这是一个创建于 37 天前的主题,其中的信息可能已经有所发展或是发生改变。

    类似美版 iPhone 卡贴机方法,在主板 usb 信号线焊接旁路检测芯片, 当检测到设备已经解锁就发送重启命令,或者劫持回锁指令,让售后无法正常刷机或者回锁。

    剩下的就看演技了,质疑售后刷砖了要求立即归还手机。

    ================================

    fastboot reboot :重启设备

    fastboot oem lks :查看解锁状态(联发科) 0 解锁,1 未解锁

    fastboot oem device-info :查看解锁状态(骁龙) true 解锁,false 未解锁

    第 1 条附言  ·  37 天前
    实现原理:
    usb 信号线焊接芯片,利用 fastboot 命令当检测到设备已经解锁就发送重启命令,让设备无法进入 FASTBOOT 进行回锁或刷机。

    优化一下步骤:
    1 、在主板的 USB 信号线焊接旁路检测芯片;
    2 、拿去售后进行刷机,售后发现无法正常刷机就会跟你商量如何处理,终止维修要回手机即可;
    3 、此时手机就是已解锁状态,且没有清除用户数据。
    第 2 条附言  ·  35 天前
    根据网友们的友好交流,我将这个方案或者称为思路进行重新整理和优化。

    首先,“跑路解锁”事件发生后部分售后门店紧急加装了玻璃墙来杜绝抢夺手机的事件发生,我绝不相信今后小米对收紧解锁的行为会有所收敛,预言他们会后面的小米高考中变本加厉的报复玩机用户;
    其次,抢夺手机容易发生人员受伤和财产损失等意外情况,社区中有人手机碎屏,甚至有人精神疾病发作;
    第三,多位相关专业的网友指出手机内部没有足够的空间安置 usb 回锁检测芯片/模块,另外自带编程过的 usb 数据线去刷机也比较难实施;
    第四,为什么非要解锁手中的小米手机,这别人讨论的问题而不是我要讨论的;

    优化后的设计思路如下:
    1 、根据不同的机型定制尾插小板,尾插小板中集成能够拦截回锁指令的模块,
    2 、替换尾插小板后拿去售后降级刷机,使得手机无法进行回锁,
    3 、通过沟通要回无法回锁的手机,这要看自己的口才和沟通能力。
    我认为在未告知情况下不可能对手机进行拆机检测,另外因为无法回锁售后强行扣留手机也不合适。
    4 、成功解锁后换回尾插小板,可以二次利用节约成本

    其他思路:
    1 、尾插小板能够保存解锁相关密钥数据,前提是小米手机解锁支持回放攻击。
    有网友反馈保存了解锁数据可以对回锁的手机进行二次解锁。
    2 、尾插小板能够伪造参数告诉服务器已经回锁。

    总之,现在小米解锁大家各显神通,有人高考、有人体育特长、有人花钱买通内鬼(咸鱼¥ 1600 )、有人“智取”,
    且行且珍惜。
    71 条回复    2025-08-08 08:59:00 +08:00
    sunulin
        1
    sunulin  
       37 天前
    今天刚刷的视频 一个老哥在售后跟前 看解锁了 抢着手机就跑了
    User2023
        2
    User2023  
    OP
       37 天前
    @sunulin 好像有个老哥心急失败了,还没解锁就跑了
    winzkh
        3
    winzkh  
       37 天前
    我还有一计,和售后串通起来,将小米解锁工具的 fastboot 劫持以做到重定向解锁文件(我印象中是有第三方开源的解锁工具,不是那个绕过 hyperos 限制的),降级完回锁之后再用 fastboot 刷入解锁文件
    angrylid
        4
    angrylid  
       37 天前   ❤️ 5
    快进到售后窗口装铁丝网/刷机要交押金
    moefishtang
        5
    moefishtang  
       37 天前
    上次手机砖了( Redmi K80 ),去售后刷机。售后小哥跟我说要拆机才能刷(然后刷完后还要装回重做防水)
    这样在小板信号线附近的改装会被发现的吧...
    mohumohu
        6
    mohumohu  
       37 天前   ❤️ 2
    这是分享还是臆想,你说的这个“方案”开发成本怕不是比闲鱼远程解更高
    User2023
        7
    User2023  
    OP
       37 天前
    @mohumohu 参考量产后的 iPhone 卡贴成本,手工费比较高
    User2023
        8
    User2023  
    OP
       37 天前
    @moefishtang 发现了就拒绝维修呗,反正已经解锁了,我又没同意拆机维修,而且售后也有理由拒绝维修,大家各得其所。
    mohumohu
        9
    mohumohu  
       37 天前
    @User2023 你都说是量产,这玩意有量产市场?八字都没一撇
    User2023
        10
    User2023  
    OP
       37 天前
    @winzkh 现代加密系统能进行回放攻击的不多了,而且还要小米工程师配合你使用第三方软件
    杜绝回放攻击简单流程:
    1 、手机生成一个密文,发送到服务器;
    2 、服务器解密后再生成解锁密钥,传给 FASTBOOT 进行解锁
    这个过程生成的解锁密钥不能被二次利用
    processzzp
        11
    processzzp  
       37 天前 via iPhone
    @User2023 有个地方好像不对,解锁/回锁都是会自动清除数据的吧?
    mohumohu
        12
    mohumohu  
       37 天前
    感觉 OP 是黑客电影看多了导致的,你要说“分享方案”,我对嵌入式开发虽然一知半解,你倒是说说用什么芯片实现,至少给个原理图,我倒要看看是什么芯片能塞得下手机还有 MITM 功能,最好你画个板给大家看看。
    User2023
        13
    User2023  
    OP
       37 天前
    @processzzp 看社区有些人在米家跑路解锁拿到手机没有清除数据
    User2023
        14
    User2023  
    OP
       37 天前
    @mohumohu 这是一个很好的质疑,你一定没用过美版 iPhone 卡贴机吧?以下 AI 总结
    🔧 技术原理详解:
    1. iPhone 网络锁( SIM Lock )机制
    iPhone 原本只能使用绑定运营商的 SIM 卡(比如美国 AT&T ),其他运营商的卡会提示“SIM 不受支持”或“No Service”。
    2. 卡贴的作用
    卡贴是一种超薄芯片板,贴在 SIM 卡下方或一体集成,与 SIM 卡一同插入 iPhone 。
    3. 工作方式:
    • 当 iPhone 开机后,基带( Modem )芯片会读取 SIM 卡中的运营商信息( IMSI 、ICCID 等)。
    • 卡贴在这过程中拦截并修改这些信息,将非支持的卡模拟成 iPhone 支持的运营商卡(例如美国 T-Mobile )。
    • iPhone 基带芯片被「骗」了,以为插入的是原配卡,因此不再限制使用。
    4. 伪装内容可能包括:
    • ICCID (集成电路卡识别码)
    • IMSI (国际移动用户识别码)
    • GID1 、GID2 (用于进一步验证)
    winzkh
        15
    winzkh  
       37 天前
    @User2023 #10 似乎小米的这个解锁 token 是可以回锁后重新使用的
    而且我搜索了下 似乎有这样的工具:
    https://github.com/Maxpnl/Xiaomi-Unlocker-Fake-Fastboot
    mohumohu
        16
    mohumohu  
       37 天前
    @User2023 说的是拦截 USB 进行 MITM ,跟卡贴有关系吗,卡贴那个 mcu 连 usb 控制器都没有
    realfatboy
        17
    realfatboy  
       37 天前   ❤️ 1
    老老实实买一加不好吗?
    User2023
        18
    User2023  
    OP
       37 天前 via iPhone
    @mohumohu 不需要中间人攻击,只需要旁路发送指令进行检测,电脑和手机直连不需要额外 usb 控制器做中间人,同理 iPhone 卡贴也没有集成 5G 芯片
    mohumohu
        19
    mohumohu  
       37 天前
    @User2023 你没 USB 控制器怎么“旁路发送指令”啊?能不能给我个原理图观摩下
    fredcc
        20
    fredcc  
       37 天前
    猜能不能给这种行为定个非法获取计算机信息系统数据罪
    User2023
        21
    User2023  
    OP
       37 天前 via iPhone
    @mohumohu 来自 AI 生成
    芯片
    封装大小
    功能
    RP2040
    QFN-56, 7×7 mm
    双核 MCU ,内建 USB 控制器
    USB PHY (如 USB3300 )
    QFN-32, 5×5 mm
    USB ULPI 接口
    EEPROM / Flash
    SOT-23-5 或更小
    存储代码(可集成)
    总面积
    约 12mm × 12mm (贴片板)
    可贴在手机主板边缘或 USB 通道之间
    User2023
        22
    User2023  
    OP
       37 天前 via iPhone
    @fredcc 入侵我自己手机
    User2023
        23
    User2023  
    OP
       37 天前 via iPhone
    @mohumohu 搜了一下闲鱼内鬼远程解锁¥1600 (跑路解锁¥200 )
    mohumohu
        24
    mohumohu  
       37 天前
    @User2023 我都不说外围电路。你光把芯片塞进去都盖不上了,卡贴做的都是 0.1mm 电阻的大小,更别说 USB 对时钟精度要求高,还要解决外置晶振
    mohumohu
        25
    mohumohu  
       37 天前
    @User2023 对啊,我说的就是你这个黑客电影的“方案”就是远比 1600 高。
    RikkaW
        26
    RikkaW  
       37 天前   ❤️ 20
    现在的人们听 AI 胡说八道就以为自己什么都会了(

    你这个想法
    硬件上:需要一个带有 USB 主机的单片机(是否需要 USB HS 还不知道),需要 USB 所以需要外置晶振——显然你的手机里没有这么大空间
    软件上:跑 USB 主机协议栈,实现“转发”——这个工作量想想就恐怖

    不要臆想你能“抓数据”,“抓数据”对应的是 USB 协议分析仪,它里面是要塞 FPGA 的,并且需要电脑配合
    xuejianxianzun
        27
    xuejianxianzun  
       37 天前
    你主楼说的方法,是你自己试过,还是有人自制成功了分享的?别是脑测的吧
    User2023
        28
    User2023  
    OP
       37 天前 via iPhone
    @mohumohu 换一个经济的方案,换掉尾插小板,去售后解锁完再回收给下一台同型号手机循环使用。我就不信比¥1600 内鬼解锁要比可重复利用的尾插小板经济实惠。
    User2023
        29
    User2023  
    OP
       37 天前 via iPhone
    @xuejianxianzun 社区内跑路解锁 BL 方法有多人成功了,也有人手慢被回锁或者手快还没解锁的,甚至有人发帖说变砖或者屏幕碎了。这样太考验反应速度体力还不体面,所以在构想通过劫持 fastboot 方案在售后进行解锁。
    mxmotao
        30
    mxmotao  
       37 天前 via Android
    换尾插小板是什么鬼,那就是一条线,解不解锁也不会有变化
    wegbjwjm
        31
    wegbjwjm  
       37 天前 via iPhone
    @realfatboy 一加解锁刷机可以去哪里学习吗,我之前都是小米,哪些方面的资源,找了个 qq 群还被拒了,目前看来一加会有信号和相机方面的问题,正在寻找学习资源
    TiDragon
        32
    TiDragon  
       37 天前
    雷军,你的的初心呢?让我们再次为发骚而生……
    leo72638
        33
    leo72638  
       37 天前 via iPhone
    感觉还是跑路更直接
    xieqiqiang00
        34
    xieqiqiang00  
       37 天前 via Android
    真以为小米不能封堵这个漏洞吗

    人家直接开发个内部的不解锁降级工具呢
    jzphx
        35
    jzphx  
       37 天前
    换个思路,卖掉换个能解 bl 的。
    CloudyKumori
        36
    CloudyKumori  
       37 天前
    感觉发烧友还是买一加方便点...
    sir283
        37
    sir283  
       37 天前
    op 还没成年,纯意淫,且不说你这个方案是否可行,就你说的那一套东西,一套下来都能买台新机了,何必呢?而且小米红米的机型保有量又大,每个版本的锁 bl 方案又不相同,售后解锁也是联网下载分发的解锁文件进行解锁的,你要怎么做到统一呢?而 iPhone 那是全球都一个配置,一个型号,破解起来就容易点,iPhone 在国外还便宜,几百块钱美元就能买到了,成本略低。
    selca
        38
    selca  
       37 天前   ❤️ 1
    别买小米就行,我用过好几代小米了,全都是解锁的。
    现在不能解锁,就换能解锁的品牌,用脚投票就行。我父母的手机也不可能再买小米了
    leeyuzhe
        39
    leeyuzhe  
       37 天前
    @wegbjwjm 酷安,虽然现在一坨,但是同行衬托
    Zy143L
        40
    Zy143L  
       37 天前
    你这说的..还不如跑路法呢..
    goodryb
        41
    goodryb  
       37 天前
    你这不叫方案,顶多叫个思路或者想法
    Mr54
        42
    Mr54  
       37 天前
    雷军忘了初心了都,忘了谁给他托举起来的
    AoEiuV020JP
        43
    AoEiuV020JP  
       37 天前 via Android
    这种埋雷法,我不觉得小米售后连这点问题都发现解决不了,
    letwewell
        44
    letwewell  
       37 天前   ❤️ 1
    我选择买一加,随便解
    jciba5n4y6u
        45
    jciba5n4y6u  
       37 天前
    高架上拉屎还知道打个伞,不得不说小米用户素质高,尊重规则有羞耻心。

    另外,自己的手机解个锁还要耍猴,不愧是雷总的粉丝。

    我用的洋垃圾 LG ,一直是 root 状态,几百块备用机爽得很。
    robinchina
        46
    robinchina  
       37 天前
    解锁除了刷第三方之外,还有什么好玩的么?
    lambdaq
        47
    lambdaq  
       37 天前
    小米要不弄个脱保解锁吧。大家都省心。
    r6cb
        48
    r6cb  
       37 天前
    @wegbjwjm #31 去 xda 啊
    ynxh
        49
    ynxh  
       37 天前
    没必要,拆机还得重做防水。得不偿失,工具而已,耐用才是第一
    现在各家都在收紧,解锁越来越难了,无所谓了
    yiqiao
        50
    yiqiao  
       36 天前
    我也看了那个帖子好像把手机摔了。不知道是不是同一个帖子
    谁还记得「为发烧而生」 slogan ,现在是为了强推他的新系统把 BL 限制了把。狗屎系统
    个人建议换能随便解的。如上边说的一加
    yolee599
        51
    yolee599  
       36 天前 via Android
    @RikkaW #26 手机里面空间塞不下,那可以换个思路,把手机的 USB 座子飞线魔改一下,比如 DM 和 DP 两根线对调。USB 拦截可以自己做一根数据线,USB 分析芯片集成到 USB-A 那头,体积大点也不会被怀疑。等拿到店里解锁的时候使用他们店里的数据线必然是无法进行操作,这时候就可以以手机接口比较松接触不良为由换上自己魔改的数据线,检测到回锁指令就拦截掉。
    yokisama
        52
    yokisama  
       36 天前 via Android
    售后:《我们都在努力的活着》
    wegbjwjm
        53
    wegbjwjm  
       36 天前 via iPhone
    @leeyuzhe 好吧,貌似也没啥好办法,一坨就一坨吧
    wegbjwjm
        54
    wegbjwjm  
       36 天前 via iPhone
    @r6cb 英文的阅读很吃力,能力不足
    Nitsuya
        55
    Nitsuya  
       36 天前
    @xieqiqiang00 #34 高通 9008, 实际上是有的~ 有些店是用的这种模式写的~ 跑路要盯着屏幕看第一屏是否出现了解锁 logo, 然后趁不注意, 拔下就跑~ 用 9008 写如果拔了,回去自己救不回来, 现在 9008 也要授权.
    HtPM
        56
    HtPM  
       36 天前
    太麻烦了哥们儿,我建议不买小米手机
    Tink
        57
    Tink  
    PRO
       36 天前
    我没明白,你加了芯片之后后盖怎么盖上呢?手机里面空间那么小,还要解决供电跟时钟的问题
    aureole999
        58
    aureole999  
       36 天前
    感觉不如自己去应聘小米售后工程师,然后就可以随便刷了(
    sks4728
        59
    sks4728  
       36 天前
    做事讲成本的, 没有实际意义
    realpg
        60
    realpg  
    PRO
       36 天前   ❤️ 1
    @mohumohu #24
    跟文盲讨论学术问题很有成就感吗...
    cyningxu
        61
    cyningxu  
       36 天前 via Android   ❤️ 1
    我觉得火箭得用水洗煤
    01802
        62
    01802  
       36 天前 via Android
    楼主你好歹有点基础再来有大致方案,现在这是纯瞎想啊
    hqt1021
        63
    hqt1021  
       36 天前 via Android
    工单三天内必须回锁 不回🔒扣 1k 怎么可能和你协商刷坏了
    duzhuo
        64
    duzhuo  
       36 天前 via Android
    @realpg 哈哈
    neroxps
        65
    neroxps  
       36 天前
    emmm 为了解锁你们也真是无所不用其极哈哈
    zyp38263547
        66
    zyp38263547  
       36 天前
    @User2023 既然 ai 都告诉你用什么 mcu 了。不如继续追问,把 rp2040 如何电 switch 绕过安全启动的方式问出来,还要什么售后。
    User2023
        67
    User2023  
    OP
       35 天前
    @xieqiqiang00 确实,有点厂是限时降级解锁,或者降级不用解锁。现在小米降级必须解锁,且行且珍惜。
    @mxmotao 你没有理解,替换尾插小板,利用尾插小板的空间重新设计尾插小板,在其中集成 usb 劫持模块,可以多次使用降低成本。
    @Zy143L 售后开始加装玻璃墙了
    @AoEiuV020JP
    @robinchina 去云控/监控,模块什么的
    @yolee599 难说你能把自带的线插到他的电脑上,看你演技
    @zyp38263547 这里只讨论可行性,怎么实现要看工程师了
    @Tink 确实没看考虑到现有的工艺做不了这么小,考虑一下用尾插小板的空间来做设计的可行性,或者自带检测芯片的数据线
    @01802 倾听您的见解
    @lambdaq 小绿书编辑放出来的风声说弃保解锁会被别用心的人利用
    @RikkaW 考虑一下尾插小板的空间够不够,或者使用 usb 数据线塞下这些芯片
    moefishtang
        68
    moefishtang  
       35 天前 via Android
    @User2023 我感觉不太可行,技术可行性暂且不论。硬件改装很难不被小米售后人员发现,你得收买售后人员配合你对小米的解锁信号进行抓包

    另外解锁密钥下发到售后电脑上这一步是通过网络传输的,你这个方案的难度不亚于在售后人员电脑上投毒,抓包获取密钥了
    User2023
        69
    User2023  
    OP
       34 天前 via iPhone
    @moefishtang 设计上只能抓传输到我手机上的解锁密钥,不涉及入侵他人信息系统
    phcbest
        70
    phcbest  
       34 天前
    这个方案实现起来还没有你自己去面试去做小米售后来的简单靠谱
    lgb1
        71
    lgb1  
       26 天前
    我选择不买小米
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6002 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 03:12 · PVG 11:12 · LAX 20:12 · JFK 23:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.