3.8 小米解锁节

ZXEB Lv5
  2026-03-20 11:12:21 2026-03-20 11:12:21 Créé   2026-03-20 11:12:40 2026-03-20 11:12:40 Mis à jour    

3.8 小米解锁节

这篇文章来得有些迟了,主要因为上周出门回来一直没顾上写,现在抽空补上。

解锁原理(部分机型已在最新 2 月补丁中修复)

  1. 关闭 SELinux
    通过 fastboot 命令注入参数,将 SELinux 降级为宽容模式,从而获得系统分区的写入权限。

  2. 植入恶意 EFI
    借助小米 IMQSNative 系统服务中未授权的调用接口,将未签名的解锁文件写入 efisp 分区。

  3. 劫持引导
    重启后,高通的 ABL 在加载该分区时未对签名进行校验,直接执行了恶意代码,将底层的解锁标志位修改为“1”。

这次解锁的突破口,实际上是小米和高通两边的漏洞同时发挥了作用。小米这边,系统服务暴露了过高权限;高通那边,则在 8 Gen 5 的 CPU 上新增了 ABL 分区。

不过,像 8 Elite 和 8 Gen 3 等部分 CPU 的机型,这次大概率还是无法解锁。

但临时 root 还是可以玩一玩的。

大致操作是手机或平板进入 fastboot 模式后,输入

fastboot oem set-gpu-preemption 0 androidboot.selinux=permissive

fastboot continue

不出意外的话,此时系统已经处于宽容模式。

接着,就可以通过一些指令为 Scene、Magisk 等软件提权了。

具体细节这里就不展开了,就写一篇文章,纪念一下这次漏洞带来的解锁机会。

这也可能是小米root的最后一舞

  • Titre: 3.8 小米解锁节
  • Auteur: ZXEB
  • Créé à : 2026-03-20 11:12:21
  • Mis à jour à : 2026-03-20 11:12:40
  • Lien: https://zxeb.github.io//posts/刷机/87
  • Licence: Cette œuvre est sous licence CC BY-NC-SA 4.0.
Commentaires
Sur cette page
3.8 小米解锁节
  1. 3.8 小米解锁节
    1. 解锁原理(部分机型已在最新 2 月补丁中修复)