很多对iOS降级的朋友都了解一些,iPhone和iPad想要完美降级必须要保存blobs证书才可以,否则就不能完美降级。
blobs证书也就是SHSH证书的保存,主要是通过一种方式TSS网站来保存,由于这个网站已经处于无人维护状态,现在已经无法使用。还有一种保存方式是使用工具blobsaver,这在玄烨之前分享的这篇文章中也介绍过: SHSH2备份工具blobsaver ,也可以保存SHSH证书。
但是,这种情况随着iOS16的发布,又发生了新的变化。
iOS 16 引入了一个名为 Cryptex1 的新组件,它带有自己的种子(生成器)和随机数。即使在配备 A10(X)/A11 芯片的设备上,此种子也会使用 0x8A4 密钥进行复杂的纠缠。
要与 Cryptex1 交互,必须越狱才能保存和使用 cryptex blob。首先,您需要 checkm8 漏洞才能使用这些 blob。如果您的设备已越狱,您可以使用 x8A4 工具加密 cryptex 种子。该过程涉及转储 0x8A4 密钥以准备加密种子。
说的简单点就是,在iOS16上,仅仅拥有SHSH还不够,还必须有Cryptex1 证书,这一点在降级 iOS 16.0 ~ 16.5.1 之间时候,会失败的情况已经得到证实。
这篇文章就教会你如何保存Cryptex1 证书,以便将来可以降级到iOS 16.0~16.4.1之间的版本。
适用的型号:
处理器是 A9X、A10(X) 的 iPad 6 / iPad 7 / iPad Pro (10.5英寸),iPad 7是唯一支持iPadOS18的。
仅限于checkm8的设备,因为它们有BootROM 漏洞
虽然iPhone Xs 和 Xʀ以后的设备可以使用Dopamine越狱,但是并不支持,因为SEP和基带以及Cryptex1 不兼容!
由于tsschecker 只有二进制文件,所以并不支持Windows,只能运行在MacOS和Linux系统上
越狱设备
1,首先,必须使用palera1n对iOS设备进行越狱,使用无根越狱即可。具体越狱教程可以看之前的文章。
2,越狱成功以后,打开爱思助手,工具箱,开启SSH通道。
3,打开Mac电脑上的终端,输入:
ssh mobile@127.0.0.1 -p2222
回车运行,连接手机
4,输入yes回车,再次密码登录手机,密码就是安装sileo时候设置的SSH密码:
5,输入: sudo -i,输入密码,回车运行,切换到root用户。
6,打开sileo,在软件源,添加源:https://cydia.ichitaso.com/secret-repo
7,完成之后,搜索x8A4,然后安装它。如果没有,多刷新几遍源。
8,在电脑上终端输入:
x8A4 -x
会得到类似这样的数据:
Got cryptex seed (0xF3323A8EFCF51FBF9AC0BEE2CE5C47DB)
9,接下来保存随机纠缠数:
x8A4 -t
会得到类似这样的数据:
Got cryptex nonce (0xF1893A76800E10EAAF14AD567300EBEB30E57F75071C11D1FA0340FF03D0BED8)
10,最后我们使用新版本的tsschecker保存Cryptex1的SHSH证书:
使用的格式:
./tsschecker -d <DEVICE MODEL> -l -s -e <ECID> -g 0x1111111111111111 -x 0xF3323A8EFCF51FBF9AC0BEE2CE5C47DB -t F1893A76800E10EAAF14AD567300EBEB30E57F75071C11D1FA0340FF03D0BED8 -E -b
DEVICE MODEL
是设备型号,类似iPad7,11 ,iPhone10,3
ECID
是一个常见数据,用爱思助手可以获取,类似:001414190868C02E
0x1111111111111111
是G值
0xF3323A8EFCF51FBF9AC0BEE2CE5C47DB
是加密的Key密钥,前面已经给出
F1893A76800E10EAAF14AD567300EBEB30E57F75071C11D1FA0340FF03D0BED8
是随机纠缠数,前面已经给出
这个方法无法保存未签名版本的 SHSH!比如16.2,以前不再开放签名刷机了。
11,至此,Cryptex1的SHSH证书已经完整保存好!
将来如果有合适的工具的方法,可以用来降级至iOS 16.0 ~ 16.5.1之间的版本