Doulci 是如何做到破解蘋果 iCloud Activation Lock 激活鎖的？

01-30

我親眼看著有人激活的。只是不明白其原理？求詳細

現在看來可能是激活請求中加密不嚴格導致可以被替換部分信息，或者激活流程前後銜接不嚴密，導致可以繞過了ID鎖限制直接獲得激活證書。

以下為分析以及猜測

iOS設備激活需要取得設備證書、基帶證書。設備證書用來開啟iOS系統；作為推送、iCloud、FaceTime等蘋果自有服務身份驗證，基帶證書用於開放基帶服務並且限制SIM卡鎖定類型。激活時上報型號、序列號、IMEI等信息交由蘋果檢查機器真實性以及激活合法性，然後蘋果生成相應信息，簽名後發揮。

這時候激活策略就體現出來了。有的激活策略通吃一切SIM卡，有的在激活時只認特定SIM，但是鎖定策略為空白，激活完成後可以換卡，有的激活時認卡並且下發鎖定策略，不允許換別家的卡。

這些都是作用於基帶的，為了保證合約運營商的利益、網路安全，基帶有很強的加密，這方面動不了。

iPhone以及3G版iPad激活時會檢查序列號、IMEI以及當前SIM卡，檢查序列號和IMEI是否配對，檢查IMEI所對應的激活策略以及激活鎖綁定等。只要上報IMEI，激活鎖根本逃不掉。

但是，有的iOS產品根本沒有基帶，也就沒有IMEI，比如wifi版ipad或者iPod touch，這類產品在激活時的認證信息應該是序列號，而且這類機器不受激活策略影響，只要型號序列號pass，直接激活。

這類產品徹底繞過激活鎖已經實現了，利用特殊工具在生產線模式下可以隨便永久改刷序列號，或者換字型檔來改序列號，然後就可以激活了。

估計doulci伺服器利用了發送的激活信息加密不嚴謹的漏洞，替換型號為ipod或者ipad，蘋果伺服器天真的發回了設備證書，然後doulci生成一份含有特定信息或者空白的基帶證書，使得基帶雖然沒有解鎖，但是不會報錯，於是就可以無信號假激活機器。

其實機器在iCloud那頭還是鎖住的，也沒有破解機器本身的核心加密信息。刷掉再激活一次還是老樣子，在iPhone上也無法永久替換序列號或者IMEI等信息並保證今後正常使用