罗永浩曾经承诺开放锤子手机的Bootloader,却没有实现,最终遭到了用户的起诉。虽然最后还是不了了之,但是从技术角度讲,解锁锤子手机的Bootloader也并非绝无可能。国内越狱团队盘古(@PanguTeam)经过一番研究后,就已经破解了锤子T1、T2的Bootloader。盘古团队已经公布了详细的分析、解锁过程,简单来说就是利用了锤子手机的漏洞解锁Bootloader,因为锤子T1、T2和绝大多数高通平台手机一样,也使用了高通开源的lk。
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/06208aa62b6c4b629880513801a052bds0tv.jpeg)
配图
最后刷入security.img之后,锤子T2被成功解锁,而锤子T1 Bootloader其实也是差不多的,同理也能解锁。
另外,Smartisan OS 2.6.8开始代码变化较大,解锁需要先降级到2.6.7版本再执行。
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/63e9b001289e40d2947697b9b26c48a6mgyo.jpeg)
图1.注册fastboot command
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/1d3fe44b569341ebb8cdc74631220e72fp4f.jpeg)
图2.fastboot可以注册的命令列表
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/dfb31c5bfbac465cac71eea225d70cf9lmnw.jpeg)
图3.写分区时的判断
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/a580890a00e54a68a61391b7d6502594qy3s.jpeg)
图4.对security分区的检测,判断是否可以解锁
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/bd9133d0c35c4559863bbe8538589cd8pbty.jpeg)
图5.根据security[128]指定的函数来初始化RSA密钥
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/4a65fc38c93543618b49793297a003ce1uv8.jpeg)
图6.RSA密钥初始化
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/b9907e8a2c2a4803b6a7db62e82a7be1cu2a.jpeg)
图7. 读取factory分区,得到序列号,然后计算MD5
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/9ea9885128b14314b74bf91187475d029ouw.jpeg)
图8. T1刷入security.img后解锁
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/1683ca8f0d314217bd027d3e8882dfd69hhh.jpeg)
图9.T2刷入security.img后解锁
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/84860032d845413f96aa8f0caa6c7b3fvnzn.jpeg)
![[图]锤子手机Bootloader遭破解](https://photos.kzwr.com/files/08f1a8cb1e044eccab664b3be4d47bd4vdwq.jpeg)
图10. 2.6.8后的版本中fastboot已经没有什么实质功能了