iPhoneMod Brasil

[ddbddbddb]

AAcho que as pessoas tendem a menosprezar o trabalho de um hacker para criar um desbloqueio. Infelizmente não é uma questão de pagar e comprar um programa que faça o serviço. A concepção do programa em si é um desafio e quase uma improbabilidade matemática.


Um desbloqueio funciona atuando sobre o baseband do iPhone. O baseband é o conjunto do hardware+software que controla as telecomunicações do iPhone. Ela funciona de modo independente, com seu próprio processador e sistema operacional. É um sistema fechado, e o usuário não tem acesso direto a ela. O acesso é criptografado e verificado através de seqüências de chaves. Toda essa segurança visa protegero usuário de violações em potencial de seu aparelho, as informações nele contidas e suas comunicações.

Simplificando, um desbloqueio depende de fazer o baseband executar um código (um programa) que o faça ignorar o ID de operadora fornecido pelo SIM e assim aceitá-lo independente de qual seja.

Agora como fazer este baseband – que é um sistema fechado – aceitar a inserção de um código?

O Baseband do iPhone tem basicamente três interfaces — três “meios” de se comunicar com ela: interface AT/dev (feito por dentro do sistema), SIM software toolkit (através da entrada do SIM chip) e rede celular/ Open BTS (acesso através do modem. Seria necessário emular um sinal de operadora, hardware muito caro).

Desbloqueio interface AT/dev (Ultrasn0w do DevTeam):

Basicamente alguns comandos podem ser enviados pelo Sistema Operacional principal do iPhone – o iOS. São comandos simples, que basicamente instruem a baseband a desempenhar atividades simples como fazer uma ligação telefônica, enviar o áudio do iPod pelo Bluetooth ou acessar a internet por wifi ou 3G. É aí a porta de entrada para ganhar controle do baseband (existem outros meios de inserção de códigos – como SIM toolkit usados por SIM proxies tipo TurboSIM – mas não são o objeto deste artigo).

O grande desafio de um hacker é este: encontrar um comando – qualquer que seja ele – que faça o baseband basicamente “dar pau” e reinicializar; ou “dar pau” e ficar inerte. Mas não pode ser qualquer comando. Comandos que simplesmente travam o baseband são inúteis, assim como aqueles que só o fazem reiniciar de vez em quando. O comando precisa ser consistente e recorrente em todos aparelhos. Isto é a vulnerabilidade. Um perito em encontrar este tipo de efeito (ou crash ou bug) é o Neurocirurgião/hacker Egípcio Sherif Hashim e o Garoto-Prodígio George “GeoHot” Hotz.



Encontrar esta vulnerabilidade é um trabalho árduo. Pode requerer a avaliação visual de linhas de codigo, ou centenas de tentativas-e-erros. Lembrem-se que se trata de achar uma falha de programação que uma equipe de dezenas de engenheiros da Apple revisaram durante meses antes do lançamento do produto. Além disso, o Baseband é relativamente pequeno, o que torna extra difícil encontrar uma falha em algo tão simples (é a mesma coisa que tentar encontrar um erro na expressão 1+1+1+1=4).



Agora uma vez encontrada a vulnerabilidade, é necessário transformá-la em Exploit. O baseband precisa estar vulnerável ou inerte, para que um código seja inserido através de um vetor. O outro desafio é exatamente encontrar este vetor. Lembrem-se que é um sistema fechado, ao qual não se tem acesso irrestrito. Este vetor precisa ser capaz de entregar o código ao processador do baseband de modo consistente e eficaz, substituindo ou adicionando ao código original de fábrica. Ele precisa estar hospedado em uma regiao da memória vazio ou que não interfira no funcionamento do baseband (se interferir o baseband pode travar e reinicializar). E precisa fazer a mesma coisa toda a vez que o sistema inicializa. Se a vulnerabilidade não tem um vetor, ou um ponto de hospedagem, ela não pode ser transformada em exploit.

Uma vez encontrada a vulnerabilidade e encontrado o vetor de inserção, o hacker pode escrever a ferramenta. Esta ferramenta será executada pelo iOS.

Obviamente não é e nunca será um aplicativo avalizado pela Apple – que aliás luta contra isso. Por isso a necessidade do iOS ser Jailbroken. E para se criar o instalador do Jailbreak o processo não é muito diferente do que foi já delineado.

Em termos simples o que um hacker faz em termos de desbloqueio é arrombar um cofre (a baseband) que ele não pode tocar, usando um robô burro, (o iOS) ao qual vc só pode dar comandos usando as teclas de uma calculadora de bolso (a lista de comandos entendida pelo Baseband).

Criar este tipo de aplicativos é especialidade de hackers como Musclenerd, Planetbeing e novamente, George “GeoHot” Hotz. 

Tendo isso em mente, fica fácil compreender por que prazos são tão difíceis de se estabelecer neste trabalho. O hacker está operando em um hardware fora dos parâmetros, que pode reagir de modo imprevisto. Isto é, o código pode ir rodando bem até que um comando trave e reinicie o Baseband e o retorne ao seu estado bloqueado.

Por esta razão o desbloqueio é guardado a sete chaves e liberado somente quando pode beneficiar o máximo número de pessoas. Não adianta liberar um desbloqueio que servirá a um grupo de pessoas que bloqueou seus aparelhos antes do lançamento de uma grande atualização. Se isto fosse feito, a Apple teria a chance de consertar a vulnerabilidade antes do lançamento da próxima atualização. E assim, um grupo muito maior de pessoas acabaria sem serviço.


Também por esta razão que não existem centenas de soluções de desbloqueio rodando na Net. Não é um trabalho fácil como se é levado a crer, portanto freqüentemente quem oferece estes serviços estará usando as mesma ferramentas. Muitos deles fazem o seguinte: anunciam que desbloqueiam (por exemplo) a versão 4.3/05.15.04. Quando vc paga, eles enviam a solução do desbloqueio 4.0/05.12.01 e um “voucher” para que vc receba a ferramenta de desbloqueio do 4.3/05.15.04 quando esta for lançada. Coincidentemente esta data será a mesma do lançamento – gratuito – das ferramentas dos hackers já conhecidos.



E também por esta razão que a maioria dos hackers bem cobra nada pelo serviço. Porque se eles fossem cobrar por cada minuto que empregaram neste ofício, o preço final da ferramenta de desbloqueio seria exorbitante.

Hackers são criaturas passionais, vaidosas, extremamente cheias de si. E quando elas chamam um garoto de gênio como têm se referido ao GeoHot, não é brincadeira. Porque queira ou não, ele fez sozinho o que a equipe do DevTeam e ChronicDev fazem em grupo. Porém, os interesses dele flutuam muito, indo para o PS3, para o iPad, ou seja lá mais o quê. Em suma, são todos seres humanos, muito jovens, e que fazem isso por hobby – e pelo seus próprios egos.

Portanto não apostem muito em soluções mágicas, porque basicamente um dia elas podem parar de surgir com tanta facilidade.
De qualquer modo, fica o recado. Não menosprezem o desbloqueio. Foi uma coisa difícil de conquistar e não acontece facilmente.

Desbloqueio SIM/STK (TurboSIM/Gevey SIM Interposer)

Uma outra forma de desbloqueio atua sobre o meio de identificação do SIM dentro da rede celular. Este é o desbloqueio executado por Entrepostos SIM.

O Entrepostos SIM ou SIM Interposer é um pequeno chip flexível que é encaixado sob o SIM chip do iphone. Ele fica ensanduichado entre o SIM chip e os contatos do iphone — daí o fato de serchamado de SIM Proxy por alguns. Da mesma forma que o desbloqueio por AT/dev, faz uso de alguma falha ou vulnerabilidade do sistema. Para se entender como ele atua, é necessário é necessário entender qualo papel do SIM card dentro do processo de conexão à uma rede de telefonia celular.

O SIM (Subscriber Identification Module — Módulo de Identificação de Assinante) é aquele chip em um cartão plástico que a operadora dá a cada assinante. Ele pode conter diversas informações, entre elas o IMSI – International Mobile Subscriber Identity (Identidade Internacional de Assinante Celular). O IMSI é típicamente um número de 14/15 dígitos guardados em um espaço de 64 bits dentro do SIM card. Os primeiros três dígitos são o Código Celular de País (Mobile Country Code, ou MMC), designando a qual país pertence o SIM em questão. Encadeado após o MMC está o Código de Rede Celular (Mobile Network Code – MNC) que identifica a qual operadora pertence o SIM. Os números em seguida identificam o assinante dentro da base de dados da operadora.

O IMSI é único para cada SIM, e é a informação que identifica o aparelho dentro da rede. Se este número fosse enviado toda vez que o aparelho entrasse na rede, aumentariam os riscos de grampo ou clonagem da linha. Por isso o IMSI é enviado o mínimo de vezes possível. Para se logar na rede celular, o aparelho faz uso de um código de 4 bits chamado TMSI (Temporary Mobile Subscriber Identity — Identidade Temporária de Assinante Celular). É um número aleatório designado pela operadora a cada terminal em sua área. Ele é local e precisa ser reatribuído cada vez que o assinante muda de área de cobertura. Algumas operadoras alteram o TMSI aleatoriamente para evitar grampo nas linhas.

Pois bem. Quando o aparelho ingressa na rede celular, ele recebe um nonce (abreviação de number used once. É uma seqüência de números aleatórios gerado para ser usado uma única vex nos protocolos de autenticação), que é “assinado” com uma chave de 128bits que está no SIM. O conjunto é reenviado à operadora, que confere a chave com sua base de assinantes, permitindo ou negando a conexão à rede.

Contanto que a chave seja válida, o IMSI não importa muito. O aparelho precisa ter somente um TMSI e a chave apropriada para poder conectar à rede de uma operadora. Tanto que muitas vezes o SIM interposer apresenta um IMSI falso, que acaba sendo perdido na rede pois é enviado a algum outro lugar, aonde por ser falso, desaparece.
Como o ingresso foi “assinado” corretamente pela chave guardada no SIM, para a operadora está tudo bem. O assinante foi reconhecido, o serviço foi estabelecido e pode ser cobrado normalmente. Para o aparelho, uma rede “estranha” o acolheu, portanto ele acredita estar em Roaming. Este é o motivo pelo qual “Roaming de Dados” precIsa estar ativado para que se possa usar o Edge/3G quando conectado desta forma.

O problema reside portanto em como enganar o Baseband a aceitar o SIM chip inserido. Antigamente os aparelhos verificavam o IMSI somente no momento em que eram ligados. No entanto, após o surgimento desta forma de desbloqueio, atualizações no Baseband passaram a verificar o IMSI com maior freqüência, o que inviabilizou o uso deste método. O sinal ficava instável, vida da bateria reduzida devida às constantes checagens do baseband.

Aparentemente na ultima versão de SIM Interposer lançado pela Gevey, descobriu-se uma forma de autenticar o aparelho em uma rede celular usando-se uma chamada de emergência. Faz-se a chamada. A operadora concede um TMSI ao aparelho. Uma vez recebido o TMSI, o baseband é forçado a ativar. Neste ponto uma mensagem de erro deve aparecer — provavelmente porque o SIM Interposer está interrompendo fluxo de dados do baseband em direção ao SIM, para impedir que ele “leia” o IMSI original e assim desativar-se. O usuário então ativa e desativa o “modo vôo” do aparelho. O aparelho readquire sinal usando o TMSI concedido.

A ligação de emergência portanto só serve para receber o TMSI necessário para entrar na rede. Todo processo de validação foi feito corretamente através do nonce assinado com a chave do SIM original. Enquanto o aparelho ficar ligado e permanecer dentro de sua área de registro, e/ou não perder conexão, o TMSI continua válido. Se o aparelho desconectar, o processo precisa ser refeito. Por exemplo, em algumas cidades que possuam túneis longos, sem repetidores de sinal celular, terrenos desiguais ou na periferia aonde o sinal oscile muito, o processo poderá ter que ser repetido diversas vezes no dia.

Ainda assim não há como garantir que o hack funcione porque uma grande variável é desconhecida: a política de segurança e validação da Operadora. Se esta valida o SIM a cada ligação recebida, o serviço cairá no momento em que uma chamada chega. Adicionalmente a operadora precisa ser tolerante quanto à manipulacao de TMSI desta forma.
Algumas operadoras fazem nota do IMEI do aparelho durante uma chamada de emergência. Não impossível em casos mais extremos que a operadora detecte a adulteração do SIM (pelo IMSI falso) e assim banir o terminal.

A questão mais grave aqui é o uso de um serviço de emergência pelo mero (e mesquinho) objetivo de desbloquear um aparelho celular. A ligação de emergência precisa durar alguns momentos (dependendo da qualidade da rede) para poder receber um TMSI. Ora, em muitas cidades isto já é tempo suficiente para um oficial do COPOM atender a chamada. O que fazer então? Dizer que foi engano? Desligar na cara da oficial? Neste momento já é tarde. A ligação já ocupou um lugar na fila de atendimento e tirou segundos valiosos de um oficial da policia militar.

No Rio de Janeiro, em um mês, 30% das 27.000 chamadas atendidas pelo COPOM são trotes. Isso significa 9000 chamadas falsas por mês, ou 300 chamadas por dia. Para um operador do COPOM, cada segundo conta, pois as chamadas precisam ser triadas. Acrescentar mais chamadas ao sistema, com o mero intuito de desligar loo em seguida sobrecarrrega um sistema que já trabalha no limite. Infelizmente não é crime. Mas deveria ser.

Usar um número de emergência para ativar um iPhone é potencialmente ocupar um oficial de policia com futilidades. A menos que um outro número de telefone possa ser usado, este método de desbloqueio deve ser evitado — e de até mesmo combatido. Por esta razão este texto deixou de fora algumas detalhes que eu considero serviriam de guia de uso do processo.

Na China, pais de origem deste produto, o número 112 pode ser usado sem maiores conseqüências, pois era um número usado para avisar sobre falhas ou quedas de linhas telefônicas terrestres. Este número foi alterado há muito tempo, e hoje é atendido por uma gravação informando o número correto a ser chamado.

Se aqui no Brasil algum número desta natureza puder ser usado, seria o candidato perfeito para substituir o 112/190 necessário.

Dito isso, devo frisar que se o procedimento não puder ser executado de outra forma, se não houver um número inofensivo que possa ser usado no lugar dos números de emergência, o assunto do desbloqueio por SIM Interposer está considerado fora dos assuntos com os quais me disponho a ajudar. Eu não posso em sã conciência orientar alguém a usar este método de ativação, que considero irresponsável e antiético.

Um abs
Eduardo

[m4rt1n1]

Cara. Muito bom, mas muito bom mesmo o teu texto.
Pena que 80% dos frequentadores do fórum não vão ler metade do que esta escrito, pelo tamanho. Tenho certeza.
Mas as explanações aqui descritas falam por si só. Quem sabe se os usuários mais "espertinhos" vissem tudo isso, conseguiriam entender o "nosso" trabalho e deixasse de ser tão banalizado como é depois do lançamento das ferramentas para jailbreak e unlock.

Meus parabéns mesmo.

[vanderson.souza]

Vlw ae, explicou bem todo o processo em uma linguagem de fácil entendimento, parabéns pelo post!

[rodolfo_queiroga_]

valeu mesmo Eduardo, texto sensacional, muito bem explicado, realmente e uma pena alguns ignorantes do fórum nao pararem de "exigir" o desbloqueio para ler um pouco sobre tal. ja vi caras aqui mandando o geohot e o devteam fazer coisas com o desbloqueio deles que demonstra apenas ingratidão e falta de respeito com quem trabalha de graca em prol dos demais.

realmente e uma pena

[DanRib]

Fala Eduardo!!!

Parabéns pela explicação. Ficou ótima!!!

Espero que todos tenham a curiosidade de ler até o final!!! A preguiça é uma coisa muito presente no fórum. Todos só querem saber: como eu faço o desbloqueio e o jailbreak??? Porque estão demorando tanto para liberar o desbloqueio???

Mais é isso aí, vamos continuar tentando ajudar!!!

Grande abraço amigo!!!

Daniel.

[gel007]

Muito Bom mesmo !
Valeu !

[Rodrigo Fortes]

Eduardo,
Espero que muitos parem p/ pensar e valorizem mais esse trabalho. Aproveito p/ agradecer a boa vontade e paciêcia dispensada sempre que solicitei qualquer tipo de ajuda.
Parabéns pelo texto!

[Altair]

Cara, excelente comentários. Ótima perspectiva dos grandes Gênios. Muito bem detalhado.

Parabéns, pelo belíssimo texto.

[darknesfall]

Parabéns Eduardo

Texto muito bom. E infelizmente tenho que concordar com os amigos....pena que muitos não vão ler tudo pelo tamanho. Porém simplificar demais as vezes atrapalha.

Temos que valorizar não só o trabalho dos hackers, mas tambem as respostas e posts criados pelos usuários do forum, que tbm utilizam seu tempo livre explicando e sanando dúvidas dos outros.

abraços

[dadon3d]

muito bom o texto Eduardo Parabéns!!!