3.8 小米解锁节

这篇文章来得有些迟了，主要因为上周出门回来一直没顾上写，现在抽空补上。

解锁原理（部分机型已在最新 2 月补丁中修复）

1. 关闭 SELinux
   通过 fastboot 命令注入参数，将 SELinux 降级为宽容模式，从而获得系统分区的写入权限。

2. 植入恶意 EFI
   借助小米 IMQSNative 系统服务中未授权的调用接口，将未签名的解锁文件写入 efisp 分区。

3. 劫持引导
   重启后，高通的 ABL 在加载该分区时未对签名进行校验，直接执行了恶意代码，将底层的解锁标志位修改为“1”。

这次解锁的突破口，实际上是小米和高通两边的漏洞同时发挥了作用。小米这边，系统服务暴露了过高权限；高通那边，则在 8 Gen 5 的 CPU 上新增了 ABL 分区。

不过，像 8 Elite 和 8 Gen 3 等部分 CPU 的机型，这次大概率还是无法解锁。

但临时 root 还是可以玩一玩的。

大致操作是手机或平板进入 fastboot 模式后，输入

fastboot oem set-gpu-preemption 0 androidboot.selinux=permissive

fastboot continue

不出意外的话，此时系统已经处于宽容模式。

接着，就可以通过一些指令为 Scene、Magisk 等软件提权了。

具体细节这里就不展开了，就写一篇文章，纪念一下这次漏洞带来的解锁机会。

这也可能是小米root的最后一舞