لنبدأ من البداية: كيف يبدو نظام Face ID وكيف يعمل:
يتكون هذا النظام من الناحية المادية من زوج من الكاميرات – الأشعة تحت الحمراء و RGB، ونوعين من باعثات الأشعة تحت الحمراء – إضاءة خلفية عادية، وجهاز عرض نقطي متخصص.
إذا قمنا بتجريد iPhone X من غلافه وإزالة كل ما هو غير ضروري، فسنرى كتلة الكاميرات الأمامية في شكلها العاري. الإضاءة الخلفية بالأشعة تحت الحمراء موجودة بشكل منفصل، ولكن جميع المكونات الأخرى بين أيدينا – فهي مثبتة بإحكام في هذا الإطار المعدني.
هنا نرى كاميرا الأشعة تحت الحمراء وجهاز عرض نقاط الأشعة تحت الحمراء. يعتمد عمل أنظمة TrueDepth و FaceID على هذا الزوج من الأشعة تحت الحمراء. وبطل قصتنا اليوم هو بالتحديد جهاز عرض النقاط.
مبدأ عمل FaceID باختصار
يفعل جهاز عرض نقاط الأشعة تحت الحمراء بالضبط ما يقوله اسمه – يبصق عشرات الآلاف من نقاط الأشعة تحت الحمراء إلى العالم الخارجي بناءً على أمر. وكاميرا الأشعة تحت الحمراء، التي تصدر هذا الأمر، تلتقط صورة لهذه النقاط على الفور.
معرفة الخصائص البصرية لجهاز العرض والكاميرا والمسافة بينهما، يمكن لـ ISP في معالج iPhone تقدير مدى بعد كل نقطة. أنا شخصيًا لا أفهم الرياضيات الكامنة وراء العملية بالكامل، وسيكون عكسها أمرًا صعبًا – ولكن التقاط سلسلة من الصور بأنماط مختلفة من النقاط يسمح بتقدير دقيق جدًا لموقع كل نقطة على حدة، وبالتالي إنشاء خريطة عمق كاملة. بدون LIDAR وبدون ToF.
تسمح خريطة العمق هذه لـ FaceID بعدم الانخداع بالصور الفوتوغرافية المطبوعة على الطابعة. الصورة الفوتوغرافية مسطحة – لكن الوجه له تضاريس، وبالنسبة لـ FaceID، فإن الخريطة الطبوغرافية للوجه أهم من لونه.
ومع ذلك، ينظر النظام أيضًا إلى لون الوجه. تتم مزامنة كاميرا الأشعة تحت الحمراء ماديًا مع كاميرا RGB، وتقوم الكاميرتان بتصوير الوجه في وقت واحد. بالإضافة إلى ذلك، يمكن لـ iPhone أن يومض ليس فقط بجهاز عرض الأشعة تحت الحمراء، ولكن أيضًا بالإضاءة الخلفية بالأشعة تحت الحمراء – ويلتقط صورة للوجه بأكمله في طيف الأشعة تحت الحمراء.
خريطة العمق نفسها خشنة إلى حد ما، وتحليل نسيج الوجه في صور الأشعة تحت الحمراء و RGB بواسطة الشبكة العصبية يسمح بتحسين العمق، وكذلك فهم التفاصيل بشكل أفضل مثل تعابير الوجه – سواء في ضوء النهار أو في الظلام.
إذا بدا لك هذا النظام مألوفًا، فربما يكون ذلك لأنه مقتبس مباشرة من Kinect الخاص بـ Xbox 360. الفرق هو أن Kinect كان جهازًا ضخمًا، بينما تم تقليصه هنا إلى حجم النتوء في شاشة الهاتف الذكي.
قامت شركة PrimeSense بذلك، وهي الشركة التي طورت التقنيات الأساسية في Kinect 1 – ثم تم شراؤها من قبل Apple مقابل 350 مليون دولار. بالكامل – مع جميع براءات الاختراع والتطورات والموظفين والأجزاء الداخلية الأخرى.
تشريح أحشاء جهاز العرض
ننتقل إلى مستوى أعمق في الهندسة العكسية: نخرج جهاز عرض النقاط من كتلة كاميرات iPhone X ونفككه إلى أجزاء مكونة. يتكون من كابل FPC مرن، وتجميعة باعثة، وتجميعة بصرية.
الكابل المرن سلبي تمامًا، وبالتالي فهو قليل الأهمية. يتم لحامه بالتجميعة الباعثة، ويخرج الإشارات إلى موصل FPC، الذي يتصل باللوحة الأم لجهاز iPhone X. الموصل ذو مسافة بين المسامير تبلغ 0.35 مم، ومخصص (Apple حمقى)، ويبدو أنه مصنوع من قبل شركة JAE.
دعونا نلقي نظرة على المكونات البصرية الرئيسية:
ودعونا نرى ما يوجد داخل الباعث:
لقد أثار دور MOSFET والشريحة الغامضة اهتمامي. لماذا؟ لأنه من غير الواضح ما الذي يفعلونه هناك بشكل عام.
الخيار الأول الواضح – الشريحة الغامضة هي ذاكرة للرقم التسلسلي وبيانات المعايرة. تحتوي الشريحة على واجهة I2C نموذجية للذاكرة، والذاكرة موجودة بالداخل بالتأكيد. لأجهزة العرض أرقام تسلسلية، يمكن من خلالها أيضًا تحديد تاريخ الإنتاج – وإذا تم استبدال جهاز العرض بالكامل، فسيرى iPhone عدم تطابق في الرقم التسلسلي ويرفض العمل مع الاستبدال. ولكن ذاكرة EEPROM I2C عادية جدًا توجد في علبة WLCSP-4 صغيرة – ويمكن حتى منع إعادة الكتابة عليها، إذا كنت تريد حقًا ذلك. لذلك، لا يمكن أن تكون الشريحة مجرد ذاكرة بسيطة. إنها تفعل شيئًا آخر بالتأكيد.
الخيار الثاني الواضح – الشريحة الغامضة هي برنامج تشغيل الليزر، و MOSFET هو مفتاحه. ونعم، يتم التحكم في MOSFET بالفعل بواسطة الشريحة. ولكن أيضًا، لا يمكن أن تكون الشريحة شيئًا بالغ الأهمية مثل برنامج تشغيل الليزر.
أولاً، يوجد MOSFET في انقطاع الكاثود المشترك لتجميعة الليزر – وتخرج 4 أنودات منفصلة مباشرة إلى الكابل المرن وتذهب إلى أعماق اللوحة متعددة الطبقات لجهاز iPhone. وثانيًا، أثناء جمع البيانات للهندسة العكسية، صادفت تعليمات مختلفة من فنيي الإصلاح الصينيين.
لم يوضحوا جوهر السؤال بشكل مباشر، ولكن في العديد من هذه التعليمات قيل: لإصلاح جهاز العرض “المعطل”، يجب تفكيكه وإزالة MOSFET واستبداله بوصلة بين المصرف والمصدر. سيعمل جهاز العرض في النهاية مع وصلة في الداخل، وسيتم استعادة وظيفة FaceID. وبما أن جهاز العرض يعمل بشكل طبيعي مع وصلة بدلاً من MOSFET، فماذا كان يفعل MOSFET هناك؟
وقد ألهمني هذا: كان هذا هو جوهر الإصلاح. يتم التحكم في MOSFET بواسطة الشريحة – لذلك بناءً على رغبة الشريحة، يمكنه قطع دائرة إمداد الطاقة بالليزر، وبالتالي تعطيل جهاز العرض. والإصلاح يزيل هذا الانقطاع.
ما هو اسمك؟
بما أنه أصبح من الواضح أن الشريحة الغامضة بالاشتراك مع MOSFET تعيق التشغيل الطبيعي لجهاز العرض، يطرح السؤال – لماذا تفعل ذلك؟ لماذا يتم وضع شريحة في جهاز العرض تقتل جهاز العرض؟
للحصول على إجابات، ذهبت إلى برنامج ISP الثابت في معالج iPhone – فهو الذي يتحدث عبر I2C مع مستشعرات الكاميرات ومع جهاز العرض.
في البداية، قمت بتنزيل صورة برنامج iOS 15 الثابت لجهاز iPhone X، وهي صورة جديدة. صور البرامج الثابتة لأجهزة iPhone هي في الأساس ملفات zip. في الداخل، وجدت برنامج ISP الثابت المطلوب – في شكل ملف Firmwareisp_bniadc-nike-d22.im4p. من ملف im4p المضغوط، تم استخراج ملف ثنائي، بتنسيق Mach-O مع كود AArch64 بالداخل. Mach-O، على عكس “صورة البرنامج الثابت النموذجية لوحدة تحكم دقيقة غير معروفة” – هو تنسيق ملف تنفيذي موثق، يشبه PE أو ELF. لا يوجد تخمين حول بنية الملف أو بنية المعالج أو العنوان الذي يجب تحميل الكود إليه. ما عليك سوى وضع الملف في Ghidra وكل شيء ينظم نفسه. إنه أمر ممتع.
ثم استولى حدسي، وقررت تشريح البرامج الثابتة الأقدم. وفي صورة برنامج iOS 13 الثابت، وجدت الملف adc-nike-d22. حتى الحجم كان متطابقًا تقريبًا. ولكن في البرنامج الثابت الجديد كان هناك المزيد من التعليمات البرمجية – وفي البرنامج الثابت القديم كانت التعليمات البرمجية أقل، ولكن كانت هناك رموز. جميع أسماء الوظائف في مكانها. تحقق دائمًا من الإصدارات القديمة!
يحتوي برنامج ISP الثابت على الكثير من المعلومات، بما في ذلك كيفية اتصال iPhone عبر I2C بشرائح مختلفة – بمستشعرات الكاميرات، ووحدات إدارة الطاقة للكاميرات، وشرائح التحكم في الفلاش والتركيز التلقائي. ومن هناك أيضًا، بفضل الرموز، تمكنت من استخراج “أسماء” الأجزاء المكونة المختلفة للنظام – ويرتبط جزء منها بمواد من أجزاء أخرى من البرنامج الثابت، وكذلك من مهندسي الهندسة العكسية وفنيي الإصلاح الآخرين. على سبيل المثال، مستشعر كاميرا الأشعة تحت الحمراء – هو STMicroelectronics VD56G0 “Savage”. يسمى نظام TrueDepth بأكمله في الكود “Pearl”، ويتم إعطاء الوحدات الرئيسية فيه أسماء شخصيات من “روميو وجولييت”. يسمى جهاز عرض الأشعة تحت الحمراء “Romeo”، وكاميرا الأشعة تحت الحمراء – “Juliet”، وتسمى الإضاءة الخلفية بالأشعة تحت الحمراء “Rosaline”. يسمى برنامج تشغيل الليزر، الذي يعيش على اللوحة الأم لجهاز iPhone ويغذي كل من الليزر داخل “Romeo” والليزر داخل الإضاءة الخلفية “Rosaline”، “Rigel”.
الشريحة الغامضة التي تهمنا؟ لديها أيضًا اسم. يطلق عليه في التعليمات البرمجية “MamaBear”، باختصار “MB”، ويبدو أن وظائفه بسيطة للغاية. إنها تعيش على ناقل I2C. وهي تخزن بيانات OTP في حد ذاتها، بما في ذلك الرقم التسلسلي والمعايرات المختلفة. وهي تقوم بتشغيل وإيقاف MOSFET بناءً على أمر. وتقيس أيضًا … السعة؟ ليست درجة الحرارة، فهي ليست متصلة بمقاومة NTC الحرارية على الإطلاق، ولكنها السعة تحديدًا. ولكن سعة ماذا؟
الموت المأساوي لروميو
مرة أخرى، تساعدنا المخططات الصينية في الحصول على إجابة لهذا السؤال. في مخطط JCID، من الواضح أن وحدة “Romeo” تحتوي على ثلاثة موصلات لتوصيل التجميعة الباعثة بالتجميعة البصرية. أحدها – الأرض، والاثنان الآخران يذهبان مباشرة إلى شريحة “MamaBear”. تمر هذه الموصلات عبر محول خاص على جانب التجميعة البصرية، وتصل إلى الجزء العلوي منها – إلى عنصر بصري حيودي.
مقسم الشعاع الحيودي غير قابل للتحكم فيه، ولا يستجيب للتيار. لكن لديه سعة. وباستخدام تلك الخطوط الثلاثة، يمكن قياس هذه السعة. ولكن لماذا؟
يكمن الأمر في الدور المهم الذي يلعبه هذا المقسم الحيودي. يتم تحديد نمط النقاط المستخدمة بواسطة جهاز العرض من خلال موقع الليزر الصغير “الحفر” على بلورة VСSEL. ثم يتم تكرار هذا النمط بواسطة العنصر الحيودي، الذي يحول شعاعًا واحدًا من الضوء إلى مئات من حزم الضوء.
إذن، ماذا سيحدث إذا تم فصل هذا العنصر الحيودي؟
لن تنقسم الأشعة. بدلاً من مئات من حزم أشعة الليزر، سيكون هناك شعاع واحد – ولكن أقوى بمئات المرات. وهذا لا يزال ليزرًا. الليزر بالأشعة تحت الحمراء أكثر خطورة من الليزر الأحمر، لأن الإنسان لا يراه – وبالتالي لن يبتعد بشكل غريزي عن مصدر ضوء قوي وخطير. وهناك فرصة غير صفرية لأن يجد المستخدم النمط المميز للنقاط محروقًا في شبكية العين.
لمنع حدوث ذلك، هناك حاجة إلى شريحة قاتلة. بعد التشغيل، تراقب باستمرار سعة العنصر الحيودي – وإذا تبين أن العنصر مكسور أو تالف، فإن السعة تتجاوز الحدود المسموح بها، وتقوم الشريحة على الفور بفصل MOSFET وتقطع الطاقة عن VCSEL. وبما أن العنصر يقع في الجزء العلوي من التجميعة البصرية، فمن المستحيل عمليًا إتلاف التجميعة المتبقية بضربة دون كسره في نفس الوقت ودون الإخلال بالاتصال.
بعد الإغلاق الطارئ لليزر، تحرق الشريحة علامة في OTP، تشير إلى أن جهاز العرض معيب – مما يعني أن الطاقة المقطوعة ستظل مقطوعة إلى الأبد. لن يكون لأي أوامر من ISP أي قوة عليها بعد الآن. سيكون MOSFET مغلقًا دائمًا، ولن يعمل جهاز العرض أبدًا.
شريحة “MamaBear”، كما يوحي الاسم – هي شريحة حماية. إنها “killswitch” للإيقاف الطارئ لليزر. إنها تقتل جهاز العرض لمنع جهاز الليزر التالف من السطوع في عيني المستخدم. ووحدة “Juliet”، التي تُركت بدون رفيقها “Romeo”، تفقد هدفها في الحياة – ويصبح نظام TrueDepth بأكمله عديم الفائدة.
أيام عمل الكهنوت التقني
لكن مخطط الحماية هذا به عيب. الحقيقة هي أن جهاز عرض النقاط يقع على الحافة العلوية للجهاز، وبالقرب من مكبر الصوت. إذا دخل السائل إلى داخل iPhone، فإن أحد الأماكن الأكثر شيوعًا لذلك هو هناك بالتحديد. وأجهزة استشعار السعة حساسة للسوائل الموصلة للتيار. لذلك، غالبًا ما يحدث أن يتعطل FaceID بعد سقوط الجهاز في الماء – حتى لو كان دخول الماء ضئيلًا، ولا يوجد تلف آخر. ببساطة، لم يفهم “Romeo” الموقف بشكل صحيح، وارتكب رقابة روسكومنازور عبثًا.
يتم نقل هذه الأجهزة إلى ورشة الإصلاح. غالبًا إلى ورشة إصلاح غير رسمية. وبما أن iPhone يتحقق من الأرقام التسلسلية لقطع الغيار (مرحبًا، Apple)، فمن المستحيل ببساطة استبدال كتلة الكاميرات بأكملها بكتلة عاملة من جهاز مانح. سيرفض الهاتف الكتلة الجديدة، ولن يعمل FaceID على أي حال. هذا يعني أنه من الضروري إصلاح القديم بطريقة ما. ولكن كيف يمكن “إحياء” جهاز عرض قام بتعطيل نفسه عن قصد؟
ابتكر مصنعو الأدوات غير الرسمية للإصلاح سلسلة كاملة من الطقوس المختلفة لهذا الغرض. ويتبعها فنيو الإصلاح المهرة بأيديهم المستقيمة بشكل مقدس، ويجرون جراحة دقيقة لهذا النظام البصري المعقد والمعاير. الدقة اليدوية المطلوبة لا يمكن تصورها – المكونات الموجودة بالداخل يبلغ حجمها بضعة ملليمترات، والبصريات حساسة للغاية. إذا انحرفت المعايرة بشكل كبير جدًا بسبب التدخلات الجراحية، فلن يعمل النظام. لا توجد أدوات لإعادة المعايرة البرمجية (مرحبًا، Apple) – إما أن تجد طريقة للدخول في المعلمات الأصلية، أو ستبقى بدون FaceID.
كيف يعمل هذا؟ حسنًا، أول شيء يجب فعله هو قراءة بيانات OTP من شريحة “MamaBear” الأصلية.
البيانات قابلة للقراءة حتى لو اعتبر جهاز العرض نفسه معيبًا. لقراءة البيانات، يصنع الصينيون “مبرمجين إصلاح” خاصين – يتم توفيرهم مع مجموعات من الموصلات المحولة، ويعملون مع سلسلة كاملة من المكونات المختلفة من نماذج iPhone المختلفة، بما في ذلك أجهزة العرض.
ثم تحتاج إلى القيام بشيئين – التعامل مع MOSFET الذي يقطع الطاقة، واستبدال شريحة الحماية الأصلية. وهناك العديد من الطرق المختلفة هنا.
يمكنك، على سبيل المثال، وضع وصلة بدلاً من MOSFET، كما في الصورة أعلاه في المقالة، واستبدال شريحة “MamaBear”، عن طريق فك لحام الكابل المرن الأصلي واستبداله بكابل مرن خاص مع شريحة خداع صينية.
يمكن أن تظل شريحة “MamaBear” الأصلية بالداخل في هذه الحالة، وتصرخ بلا حول ولا قوة بأن جهاز العرض لا يجب أن يعمل بأي حال من الأحوال. ولكن لم يعد لديها MOSFET لإيقاف تشغيل جهاز العرض بالقوة، بينما يرى iPhone من جانبه فقط الشريحة الصينية – التي تعطي نسخة من البيانات الأصلية التي تم تحميلها بواسطة المبرمج، وتفيد بأن جهاز العرض سليم تمامًا.
أو يمكنك إخراج شريحة “MamaBear” بالكامل، ووضع بديل صيني اثنين في واحد في مكانها العادي – فهي تغلق موصلات MOSFET، وتعطي نسخة من بيانات OTP إلى الهاتف.
حسنًا، وهناك خيار بحد أدنى من اللحام. “محول” مع شريحة خداع، يتم وضعه بين الكابل المرن الأصلي واللوحة الأم لجهاز iPhone.
إنه لا يحل مشكلة MOSFET، ولكن وجد الصينيون أيضًا طريقة أصلية لحلها، من خلال صنع مبرمجين “عاليي الجهد”.
هل تعرف كيف يمكن “إلغاء حظر” وإعادة كتابة جميع أنواع ATtiny باستخدام مبرمج عالي الجهد خاص؟ الوضع هنا مختلف تمامًا. يقوم المبرمج الصيني عالي الجهد “ببرمجة” MOSFET بوحشية ولا رجعة فيها داخل جهاز العرض في دائرة قصر بين المصرف والمصدر.
في المرحلة الأخيرة من الإصلاح، نقوم بتوصيل جهاز العرض بالمبرمج مرة أخرى، ونقوم بتحميل التفريغ الذي تم حفظه في المرحلة الأولى إليه. وجهاز العرض جاهز للعمل، ويقدم نفسه على أنه أصلي وغير معدل.
يتم صنع جميع هذه الأجهزة المختلفة والترويج لها من قبل بائعي معدات الإصلاح المختلفين. تعمل جميع أنواع شرائح الخداع فقط مع المبرمجين “الأصليين”، وغالبًا ما تحتوي المبرمجين على ميزات DRM مثل الارتباط بالحساب وعدد محدود من “الإصلاحات”، والتي يجب دفع ثمن تجديدها.
هل يعرف فنيو الإصلاح أنهم بإصلاحهم يدمرون تمامًا النظام الذي اخترعته Apple لحماية عيني المستخدم؟ في الواقع لا. إنهم ليسوا مهندسي هندسة عكسية – إنهم سحرة. ليس لديهم فهم لمبادئ العمل. لديهم طقوس ولديهم نتائج، وهذا يكفيهم. ومهندسو الهندسة العكسية الأذكياء من الصين مترددون في مشاركة أسرارهم مع الجمهور. ما وصفته في هذه المقالة، معروف بالكامل فقط لمهندسي Apple وعشرة صينيين “مطلعين”. ولي. ولك أنت الآن.
لماذا Apple أوغاد
تعلمون، لا يمكنني أن ألوم مهندسي Apple بشدة على حقيقة أن “killswitch” الخاص بهم نشط للغاية، ويعطل أجهزة العرض التي كان من الممكن أن تستمر في العمل تمامًا. الليزر موضوع خطير، وفكرة حماية المستخدم من “أسوأ السيناريوهات” سليمة تمامًا. على الرغم من أن تنفيذ هذه الحماية يتطلب تحسينات.
ولكن سياسة Apple في مكافحة الإصلاحات غير الرسمية – هي الأسوأ على الإطلاق. إذا كان من الممكن تغيير وحدات TrueDepth بهدوء من جهاز إلى جهاز، دون النظر إلى الأرقام التسلسلية، فلن يكون هناك معنى عمليًا لطقوس الإصلاح الوحشية المشوهة. لماذا تشوه نفسك باللحام الجراحي الدقيق والرقص مع المبرمجين، إذا كان من الممكن إزالة كتلة TrueDepth العاملة تمامًا من “مانح” آخر بشاشة مكسورة، ووضعها في هاتف العميل، واستعادة الوظائف بالكامل، والعيش بسلام؟ سيكون الأمر أسهل على فنيي الإصلاح، وأكثر أمانًا على مالكي الأجهزة.
لكن تاريخ سلوك Apple القبيح المناهض للإصلاح يظهر بوضوح أن هذا لن يحدث. حسنًا، إلا إذا جعلت جميع أنواع حركات “الحق في الإصلاح” في الولايات المتحدة أو الاتحاد الأوروبي ربط قطع الغيار بالأرقام التسلسلية غير قانوني. وهذا ممكن الآن. في النكتة حول حقيقة أن الاتحاد الأوروبي يضيف ميزات مفيدة أكثر إلى نماذج iPhone الجديدة من Apple، هناك نسبة عالية جدًا من الحقيقة. لذلك دعونا نراقب المبادرات التشريعية.
المقالة مترجمة من اللغة الروسية. مؤلف المقال: acc0unt. لقد حاولنا الحفاظ على الأسلوب والصياغة الأصليين للمؤلف قدر الإمكان في الترجمة.