Hlavní navigace

Hackujeme telefon s Google Android

Jiří Týř 11. 3. 2009

V dnešním díle našeho seriálu o Google Android se společně podíváme na dění kolem odblokování T-Mobile G1. Ukážeme si také, jak zkompilovat a nahrát vlastní obraz systému, jak zálohovat nastavení telefonu a jak změnit statický i animovaný bootovací obrázek na našem odblokovaném telefonu.

Prolomení ochrany T-Mobile G1

Po slavnostním představení T-Mobile G1 v České republice nastalo velké zklamání. Jiná verze firmware znemožňovala získání absolutní kontroly nad telefonem v podobě rootovského přístupu. Jelikož stejným problémem trpí všechny evropské G1, rozhořelo se mnoho debat o tom, jak ochranu prolomit. Cílem bylo přimět telefon k změně firmware na americkou (RC29) nebo britskou (RC7) verzi. Tyto umožňují rootovský přístup poměrně snadno získat. Při hledání řešení se zkoušelo mnoho technik, ale žádná z nich nevedla k cíli. Až teprve nedávno došlo k zásadnímu obratu. Byla nalezena metoda, která umožňuje změnu firmware provést.

Celá metoda spočívá v tom, že se pomocí specializovaného nástroje QMAT upraví obsah SD karty tak, že se po nakopírování obrazu systému do základního adresáře SD karty a restartování telefonu odemkne BootLoader, který umožní provést aktualizaci systému z SD karty. Takto upravená karta je známa také pod názvem GoldCard.

QMAT je program pro MS Windows, a pro vytvoření GoldCard je navíc potřeba přístroj s Windows Mobile. Existuje však i postup, který umožňuje vytvořit GoldCard i pod Linuxem.

Tvůrci QMATu neměli z masového nasazení jejich aplikace moc velkou radost, a tak veřejně dostupnou verzi, která vytvoření GoldCard pro G1 umožňovala, odstranili a vydali novou limitovanou verzi, kde tato funkcionalita již není zadarmo. Pokud chcete telefon odblokovat s aktuální verzí QMATu, musíte si koupit registrovanou verzi v ceně 20 EUR. Podle tvůrců programu budou takto získané prostředky vynaloženy na nákup nového hardware pro testování.

Reakce na zpoplatnění QMATu byly různorodé. Pravdou je, že se najde mnoho uživatelů, kteří ani pořádně nevědí, co jim rootovský přístup přináší a chtějí mít svoji G1 hacknutou jen proto, aby byli „IN“. Samotní tvůrci QMATu zastávají názor, že by G1 měla být odblokována jen pro ty, kdo to opravdu potřebují.

Sestavení vlastního obrazu systému

Repositář

Jak bylo zmíněno v prvním díle našeho seriálu o Google Android, téměř všechny zdrojové kódy jsou dostupné v několika GIT repositářích. V těchto repositářích se nacházejí dvě větve. První z nich se nazývá master a obsahuje produkční verzi platformy Android. Druhá verze je testovací a nazývá se cupcake. Testovací větev sloužila k internímu vývoji v Google. V dnešní době je již nepoužívaná a pracuje se jen na větvi master. Ani v jedné větvi však nenaleznete aplikace s uzavřeným kódem (gmail, sync, calendar, maps, market, IM, mp3 store, …).

Nastavení

Předtím než začneme kompilovat, musíme nejdříve připravit prostředí pro stažení zdrojových kódu z GIT repositáře. Budeme předpokládat, že na vašem počítači je nainstalovaný program git.

Nejdříve si tedy vytvoříme naši GIT identitu:

$ git config --global user.email "jmeno@gmail.com"
$ git config --global user.name "Jmeno"

Následně vytvoříme adresář pro stažení všech zdrojových kódů příslušné větve a stáhneme si nástroj repo, který nám ulehčí práci s GIT repositářem.

$ mkdir ./myandroid
$ cd ./myandroid
$ wget http://android.git.kernel.org/repo
$ chmod 755 ./repo

Pokud chceme kompilovat větev master, použijeme následující příkaz:

$ ./repo init -u git://android.git.kernel.org/platform/manifest.git

V případě že chceme kompilovat větev cupcake, použijte tento příkaz:

$ ./repo init -u git://android.git.kernel.org/platform/manifest.git -b cupcake

GIT repositář obsahuje zdrojové kódy pro kompilaci na více zařízení. Musíme proto nadefinovat, že chceme stáhnout veškeré kódy pro G1. Tato definice musí být uložena v souboru local_manifes­t.xml v adresáři .repo:

$ wget -O ./.repo/local_manifest.xml "http://source.android.com/documentation/building-for-dream/local_manifest.xml?attredirects=0"

V tomto okamžiku máme vše připravené ke stažení všech zdrojových kódů. Objem stahovaných dat je přibližně 2 GB.

$ ./repo sync

Kompilace

Ke zkompilování jsou ještě potřeba některé binární soubory, které ze smluvních důvodů nejsou součástí GIT repositáře. Můžeme si je však stáhnout přímo z našeho telefonu pomocí scriptu extract-files.sh v adresáři vendor/htc/dre­am/:

$ cd ./vendor/htc/dream/
$ ./extract-files.sh

Nakonec ještě vytvoříme soubor se specifikací, pro jaké zařízení budeme systém kompilovat:

$ cd ../../../
$ echo "TARGET_PRODUCT:=htc_dream" > ./buildspec.mk

Před samotnou kompilací se musíme ujistit, že máme na našem počítači nainstalované potřebné programy a knihovny. Na Ubuntu by mělo stačit nainstalovat následující balíky:

$ sudo apt-get install git-core gnupg sun-java6-jdk flex bison gperf libsdl-dev libesd0-dev libwxgtk2.6-dev build-essential zip curl libncurses5-dev zlib1g-dev

Jelikož většina platformy Android je napsána v Javě, je potřeba nastavit systémovou proměnnou používanou během kompilace:

$ export ANDROID_JAVA_HOME=$JAVA_HOME

Nyní máme vše připravené a můžeme spustit samotnou kompilaci:

$ make

Nahrání obrazu

Po úspěšném zkompilování nalezneme všechny výsledné obrazy v adresáři out/target/pro­duct/dream/. Abychom je mohli otestovat, musíme nejdříve vypnout telefon a znovu ho nastartovat do fastboot módu (CAM+POWER, BACK). K nahrání obrazů do telefonu slouží příkaz fastboot, který je součástí zkompilované větve master (adresář out/host/linux-x86/bin). Před nahráním obrazu je doporučeno provést zálohu (viz další část článku).

$ cd ./out/target/product/dream/
$ ../../../host/linux-x86/bin/fastboot flash system ./system.img
$ ../../../host/linux-x86/bin/fastboot flash boot ./boot.img

Po restartu telefonu by nám měl nastartovat námi zkompilovaný systém.

Komu se nechce procházet celým procesem vlastní kompilace a chce jen vyzkoušet poslední novinky z větve master, může si stáhnout již zkompilované obrazy. I k nahrání těchto obrazů bude potřeba soubor fastboot, který si ale můžete stáhnout již zkompilovaný.

Zálohování

Pokud máte v telefonu nainstalovaný recovery obraz od JesusFreek, pak máte k dispozici také zálohovací program NanDroid. Stisknutím kláves Alt+B v recovery módu (HOME+POWER při startu telefonu) se provede záloha všech částí paměti na SD kartu. Pro obnovení dat je potřeba veškerá zazálohovaná data přehrát na počítač. Samotné nahrání dat zpět do telefonu lze provést pomocí příkazu fastboot, jak bylo ukázáno v předchozím odstavci.

Úprava existujícího obrazu

Pokud chcete zkoumat nebo upravovat již sestavený obraz systému, musíte z něj nejdříve všechny soubory vybalit. Obraz systému je binární kopií obsahu paměti, je tedy nutné k dosažení cíle použít speciální nástroje. Pro rozbalení obrazu části disku se systémem (system.img), s daty (data.img) a keší (cache.img) slouží program unyaffs. Například rozbalení obsahu obrazu systému se provede následovně:

$ unyaffs ./system.img

V případě rozbalení obrazu paměti boot je situace komplikovanější. Nejedná se totiž o klasický souborový systém. Ze zdrojových kódů platformy Android lze vyčíst, že obraz boot se skládá celkem ze čtyř částí. První část je bootovací hlavička. Následuje obraz jádra a ramdisk. Ramdisk obsahuje soubory potřebné pro inicializaci systému. Za ramdiskem se nachází nepovinná část second stage. Podrobnější dokumentaci naleznete na android.git.ker­nel.org.

+-----------------+
| boot header     | 1 page
+-----------------+
| kernel          | n pages
+-----------------+
| ramdisk         | m pages
+-----------------+
| second stage    | o pages
+-----------------+

n = (kernel_size + page_size - 1) / page_size
m = (ramdisk_size + page_size - 1) / page_size
o = (second_size + page_size - 1) / page_size

Pro rozbalení obrazu boot je nutné použít script split_bootimg.pl:

$ ./split_bootimg.pl ./boot.img
Page size: 2048 (0x00000800)
Kernel size: 1388548 (0x00153004)
Ramdisk size: 141166 (0x0002276e)
Second size: 0 (0x00000000)
Board name:
Command line: no_console_suspend=1 console=null
Writing boot.img-kernel ... complete.
Writing boot.img-ramdisk.gz ... complete.

Tímto jsme získali obraz jádra a ramdisk. Ramdisk je ve standardním formátu který je vyžadován jádrem. Abychom mohli upravovat inicializační scripty v ramdisku, musíme jej nejdříve rozbalit:

$ mkdir ramdisk
$ cd ramdisk
$ gzip -dc ../boot.img-ramdisk.gz | cpio -i

Nyní máme obsah ramdisku v adresáři ramdisk, a můžeme provádět změny. Abychom mohli změny nahrát zpět do telefonu, musíme obraz boot složit opět dohromady. S tím nám pomohou příkazy mkbootfs a mkbootimg, které jsou součástí zkompilované větve master (adresář out/host/linux-x86/bin/):

$ mkbootfs ./ramdisk | gzip > ramdisk-new.gz
$ mkbootimg --cmdline 'no_console_suspend=1 console=null' --kernel boot.img-kernel --ramdisk ramdisk-new.gz -o boot-new.img

Upravený obraz se nahraje do telefonu takto:

$ adb push ./boot-new.img /sdcard/
$ adb shell
# cat /dev/zero > /dev/mtd/mtd2
# flash_image boot /sdcard/boot-new.img

Nutno podotknout, že pokud se něco nepovedlo, tak telefon nenabootuje. Pro ten případ je dobré mít na SD kartě poslední dostupný update (soubor update.zip) a v případě neúspěchu jej v recovery módu aplikovat (HOME+POWER, Alt+S).

Změna splashscreenu

Při spouštění telefonu se postupně zobrazují tři obrázky. První dva jsou statické a jsou zobrazeny při zavádění jádra. Třetí je animovaný a zobrazuje se při spouštění systému. Změna statického obrázku je poměrně jednoduchá. Pro vytvoření použijeme nástrojů z balíku ImageMagick a také některé nástroje vytvořené při kompilaci větve master.

Nejprve převedeme libovolný (v našem případě splash.png) obrázek do osmibitového neprůhledného RAW formátu:

$ convert -depth 8 splash.png rgb:splash.raw

Tím získáme soubor o velikosti přesně 460800 bytů. Tento soubor s daty obrázku je nutné převést do formátu, kterému rozumí framebuffer telefonu. K tomu použijeme příkaz rgb2565, který je součásti zkompilované větve master (adresář out/host/linux-x86/bin/).

$ rgb2565 < splash.raw > splash.raw565

Konverzí získáme soubor o velikosti přesně 307200 bytů. Velikost souboru je potřeba zkontrolovat ještě před jeho kopírováním do telefonu. Následně restartujeme telefon do fastboot módu (CAM+POWER, BACK), kde pomocí příkazu fastboot nahrajeme vytvořený obrázek do telefonu:

$ fastboot flash splash1 splash.raw565

A telefon restartujeme:

$ fastboot reboot

Po zapnutí telefonu bychom měli vidět námi vytvořený obrázek na obrazovce telefonu.

Nahradni logo

Možná náhrada loga T-Mobile G1 při startu telefonu

Obdobný postup platí i při vytváření druhého statického obrázku. Jediným rozdílem je postup jeho kopírování do paměti telefonu:

$ fastboot flash splash2 splash.raw565

Pokud vše funguje, jak má, můžeme ještě změnit animovaný obrázek. Animovaný obrázek není na rozdíl od statického nahrán přímo v paměti telefonu, ale je součástí systémové aplikace framework-res.apk. Jelikož se jedná o aplikaci napsanou v Javě, je celý soubor ZIP archivem. V tomto archivu je adresář /assets/images, kde se nalézají obrázky potřebné pro animaci (android_320×480­.png, boot_robot.png a boot_robot_glow­.png). Obrázky můžeme libovolně upravovat, musíme však zachovat jejich rozměry a formát. Samotnou animaci zajišťuje obrázek boot_robot_glow­.png, který se při startování periodicky objevuje a mizí. Standardní rozostřený obrys postavy Androida může být nahrazen například za ohnivé pozadí:

Ohnivý Android

Ohnivý Andoid (stáhněte si)

Samotné nahrazení obrázků provedeme například takto:

$ mkdir -p ./assets/images
$ cp ~/android_320x480.png ~/boot_robot.png ~/boot_robot_glow.png ./assets/images
$ adb pull /system/framework/framework-res.apk ./
$ zip -ru framework-res.apk ./assets/images/*
$ adb shell mount -o remount,rw -t yaffs2 /dev/block/mtdblock3 /system
$ adb push ./framework-res.apk /system/framework/

Nakonec bych rád poděkoval Davidu Bělohradovi za cenné připomínky a názory při psaní článků o Google Android.

Našli jste v článku chybu?

11. 3. 2009 7:39

No jsem zásadně zklamaný, že když bych si chtěl tento telefon pořídit, tak narazím na takové zásadní omezení.
Je hezké že má telefon "otevřený" systém, ale v tomto případě mi je to uplně nanic, když mi někdo brání ho upravit.
Tohle je asi jako kdyby se prodávaly počítače, kde by mohl OS instalovat jen výrobce a administrátorský přístup by si ponechal jen on. Je mi jasné, že by to bylo ku prospěchu BFUčkům, protože by tam nemohli nic zkazit. Kdyby to ale udělali u PC (jako že se o to …

11. 3. 2009 6:53

titanik (neregistrovaný)
u toho nadpisu cybi: "a neb jak vyrobit cihlu, nebo prijit o zaruku" :)
Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Na pečení je nejlepší medovicový med

Na pečení je nejlepší medovicový med

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme