更换ICCID码破解Apple运营商锁策略分析

基础概念

---

1，IMSI码

国际移动用户识别码（IMSI：International Mobile Subscriber Identification Number）是区别移动用户的标志，储存在SIM卡中，可用于区别移动用户的有效信息。其总长度不超过15位，同样使用0~9的数字。其中MCC是移动用户所属国家代号，占3位数字，中国的MCC规定为460；MNC是移动网号码，由两位或者三位数字组成，中国移动的移动网络编码（MNC）为00；用于识别移动用户所归属的移动通信网；MSIN是移动用户识别码，用以识别某一移动通信网中的移动用户。

结论：IMSI就是手机SIM卡的运营商信息码，不同的IMSI码可以区分不同的运营商，例如中国移动；中国联通；中国电信等。

2，ICCID码

ICCID：Integrate circuit card identity 集成电路卡识别码即SIM卡卡号，相当于手机号码的身份证。 ICCID为IC卡的唯一识别号码，共有20位数字组成，其编码格式为：XXXXXX 0MFSS YYGXX XXXX。分别介绍如下： 前六位运营商代码：中国移动的为：898600；898602 ，中国联通的为：898601、898609，中国电信898603，898606。

结论：ICCID是手机SIM卡的身份识别码，理论上是唯一的。

3，TSMI码

临时识别码(TMSI—–Temporary Mobile Subscriber Identity)，临时识别码的设置是为了防止非法个人或团体通过监听无线路径上的信令交换而窃得移动客户真实的客户识别码(IMSI)或跟踪移动客户的位置。
每当MS用IMSI向系统请求位置更新、呼叫尝试或业务激活时，MSC/VLR对它进行鉴权。允许接入网路后，MSC/VLR产生一个新的TMSI，通过给IMSI分配更新TMSI的命令将其传送给移动台，写入客户SIM卡。此后，MSC/VLR和MS之间的命令交换就使用TMSI，客户实际的识别码IMSI便不再在无线路径上传送。

结论：就是临时移动用户识别码，它是IMSI的临时“代表”，出于IMSI的安全考虑，为尽量避免在空中接口传递IMSI，由VLR给用户分配的，TMSI在当前VLR中是唯一的。

---

Apple有锁机器各种解锁原理分析（网络帖整合）

---

1，TMSI解锁原理

做一个浅显的比喻：tmsi就是一个人身份证，imsi是一个人护照，身份证只能在本国使用本国才会承认你，你出去外国就不承认你的身份证了要你给护照才能承认你了。
使用tmsi解锁，就相当于，我是中国人（中国移动sim卡或者是联通sim卡），拿着日本人的护照（卡贴伪装了sim卡）取得进入中国（插着卡贴的日版机），中国给我发了一个身份证（中移动或者中国联通基站发了tmsi），我就呆在中国自由活动了。 但是这个身份证是有有效期的，有的地方给了30天或者1分钟的（这个要看当地移动基站tmsi的分配机制），只要还在有效期我就可以呆在网络里，失效了就被驱逐了。我又要用护照去申请一个身份证才能重新返回。如果当地每次都给我一分钟的失效，那我就得不停申请身份证那就等于失败了（这就是有的地方不能使用tmsi破解道理）。
临时识别码(TMSI—–Temporary Mobile Subscriber Identity)
临时识别码的设置是为了防止非法个人或团体通过监听无线路径上的信令交换而窃得移动客户真实的客户识别码(IMSI)或跟踪移动客户的位置。
每当MS用IMSI向系统请求位置更新、呼叫尝试或业务激活时，MSC/VLR对它进行鉴权。允许接入网路后，MSC/VLR产生一个新的TMSI，通过给IMSI分配更新TMSI的命令将其传送给移动台，写入客户SIM卡。此后，MSC/VLR和MS之间的命令交换就使用TMSI，客户实际的识别码IMSI便不再在无线路径上传送。
我长话短说，手机每次成功鉴权登录到网络的时候，运营商的网络都会给手机写如一个tmsi，这个tmsi是在当前覆盖小区使用的通行证。有锁机解锁时我们控制手机使用真实的sim卡的信息，去运营商网络里登录。有锁机怎么登录呢？苹果设计了一个激活模式，我们就利用了这个激活模式，去登录网络获得tmsi。获得tmsi后，卡贴重新伪装sim卡控制手机以tmsi方式登录网络。为什么需要伪装sim卡？因为有锁机是需检查sim卡是否是锁定运营商。这样以组合，我们就让有锁机获得了临时使用运营商网络的机会了。
这样登录的网络有什么弊端呢？
tmsi具备区域性和失效性，当你离开当前的基站覆盖区，去到另外一个覆盖区，很有可能这两个基站锁归属的鉴权中心是不同一个的，这样旧的tmsi就不能被承认，新的基站就拒绝你使用tmsi登录，要你用原sim卡信息重新鉴权。矛盾了，原sim卡信息手机又不给上传啊，那就没办法了，无服务了。这个时候去控制卡贴，让卡贴去掉伪装手机就能用激活模式登录网络，分配新基站的tmsi，这样又可以在新的覆盖区获得信号了。

结论：TMSI确实可以骗过基站，但信号并不稳定。

2，ICCID解锁原理

首先科普一下iccid漏洞。
当一个iccid频繁激活苹果服务器，苹果就会把这个iccid列为白名单。正常来说，iccid作为手机卡识别码，是独一无二，不可能有第二个相同的存在。但批量生产激活卡或其他白卡的厂商，为了节省时间和方便管理，都是会在白卡里写入同样的数据。
当这种卡流通到市面之后，被各种人无意间使用，日积月累，苹果服务器就会收到无数同样的iccid激活各式不同的手机，从而赋予这种iccid独特的跳过有锁机激活的能力。
上一次的iccid漏洞89813000202173547520 ，其实是很知名的卡贴引导卡的iccid。这种卡中国的维修师傅几乎人手一个，这张卡的iccid不知道激活了多少iphone，所以他能成为iccid漏洞。这个引导卡iccid漏洞被封后，很快就有能人发现了另一个iccid漏洞89860600502000180722，大家始料未及的是，这个iccid其实就是很普通的4G空白卡的iccid，白卡厂家生产这种卡的时候，为了方便，就全部预设同一个iccid，经过一定数量的人使用后，系统赋予这种卡跳过激活的能力！

结论：能够跳过激活的ICCID码是符合某种特殊的激活策略，具体策略暂时未知。修改为改ICCID后，可直接跳过Apple服务器验证，激活手机，但ICCID肯定总会被封。

根据超雪团队的微博，我们可以知道ICCID的起作用的规则。

3，IMSI解锁原理（暂时未知）

目前知道的只有中国超雪吧，GPP似乎没有。