mittorn

Скажите спасибо гуглу, за то что сделал очистку системы из старого слота после успешной загрузки прошивки. Предполагаю, что это делается для trim/discard, чтобы уменьшить износ памяти

Можно попытаться купить новый и заблокировать обновления. Ну или заменить плату (на новой плате q2 возможно будет 39 прошивка). К тому же quest2 уже сильно устарел и есть смысл проапгрейдить до 3/3s или pico

А вот этого я уже не знаю. По идее если зашить подписанный загрузчик новее - должно заработать, но чем и как зашить - не знаю, программаторы дорогие

Предположительно, прошивка должна быть на чипе, но чип должен быть новый. Если чип побывал в другом шлеме- скорее всего не пройдёт проверку HMAC и не запустится. Но это не точно Можно ли на произвольный новый чип закатать некую заводскую прошивку и где её брать - я не знаю.

Видимо, вторые квесты не на гарантии и обновлять там загрузчик уже не будут. Остаётся надеяться на CVE

https://notnow.dev/notice/Ayw3OsMiacybiKgtIO

Так recovery по ссылке для третьего, она и не должна на второй встать. Где брать для второго - не знаю.

Может, новый способ только на третих квестах? Очень вероятно, что под xr2 не обновляли загрузчик

Наверно эта версия загрузчика не поддерживает rescue-signature?

нет, это специальный образ recovery, с минимумом, необходимым для sideload https://drive.google.com/file/d/1hap18LMazMx3sZUoraMujlRoS78QLqwC/view

Для этого используют /data/local/tmp У самого приложения доступа туда нет, но у run-as есть, у shell тоже есть. Так же можно в /data/data/<pkg>/files закинуть busybox и пробовать им что-то сделать, на случай если сам бинарь mkdir поломали. Ещё есть tar, тоже может оказаться полезным. Например, если бы /data/local/tmp не было, была бы возможность передавать данные в run-as через stdin/stdout в виде tar-потока

А вариант с переименованием точно не работает? Если сам каталог /data/data доступен для записи, то список и аттрибуты файлов в нём независимо от владельца должны быть доступны для изменения

Ещё можно попробовать такую последовательность: в /sdcard/Android/data/<pkg>/ если файлы, которые находятся в других папках надо заменить - попытаться пееименолвать эти папки. Допустим, может не быть доступа на запись в /sdcard/Android/data/<pkg>/files/blabla, но в /sdcard/Android/data/<pkg>/ доступ будет, тогда files можно будет переименовать (т.к непосредственно его содержимое менять не запрещено) Если же речь идёт именно о /data/data - то это делается только с рутом, с самых первых версий андройда (за реджкими исключениями, когда приложение само разрешило туда запись)

Не знаю как на квесте, но на Pico 4 туда напрямую линуксовая ФС подмонтирована, так что просто так без рута заменять файлы может не получиться (т.к работают posix права и у неё другой владелец) Но на всякий случай, попробуй через adb заменить и посмотреть, что будет

Немного уточню: есть вероятность, что загрузчик использует специальную DRM-область памяти для anti-rollback: https://en.wikipedia.org/wiki/Replay_Protected_Memory_Block В этом случае просто пустой чип памяти не поможет. Так же не стоит забывать, что где-то на v6x загрузчик зашивает фьюзы для анти-роллбэка, из-за чего на уже загружавшийсмя чип с v7x по идее бесполезно перекатывать что-то с v39. Можно ли как-то это обойти? Может быть возможно сделать чип-прокси (высокочастотный логический анализатор?), который перехватит ключи авторизации и считать данные? Но даже тогда может помешать HMAC, потому ничего однозначно сказать не могу Честно говоря проще будет SoC вместе с памятью с разлоченноых снапов 870 или 8G1 перекатывать и портировать на них прошивку от квеста - это как я понимаю, те же xr2 и xr2g2, только возможно даже мощнее