奇安信攻防社区-DIY 苹果无线充电绕过手机充电认证（I）

DIY 苹果无线充电绕过手机充电认证（I）

这篇文章主要讲述从电路层面解析、复刻整个无线充电过程。希望可以为奋斗在破解无线充电协议的大佬们提供一些启发。同时，讲述一种纯硬件方法。

背景
--

之前，在某鱼上钩买了一个苹果（原装）无线充电器，真的是出血、割肉了。突然萌生出一个想法为什么这个充电器那么贵，我们难道自己不能做出来吗？然后，根据一般的硬件研究过程——拆。想要弄清楚原理一定要，“打破沙锅问到底”。下面便是拆开后这个充电器的内在：  
[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-382bb419b1f712264d12b9cc02a0f4f65e681f11.jpg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-382bb419b1f712264d12b9cc02a0f4f65e681f11.jpg)

[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-e62b3614219ac3a866a7132cd624bb02fce6ad58.jpg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-e62b3614219ac3a866a7132cd624bb02fce6ad58.jpg)  
看到了他复杂的“内在”——双层PCB加上传输线圈（with 反射面）。线圈不重要，这是我们都了解这个必然具有的部分，主要看看天线回溯到信号输入这中间模块的功能分区。  
看看这个部分，通过PCB板子上写着的信息可以了解到有GND、CC2、CC1、D+、D-、VIN。其中，cc2端口为空，这个部分我们无须过多关注（后期我们用的接口类型为USB）。  
再来是快充协议处理模块，三极管放大器，MCU（对输出信号进行编码），还有4个白色的谐振电容。如各位大佬想尝试破解快充协议，可以在MCU、编码器上做文章。本文不会考虑这些，拆解主要是为了了解电路层面一个无线充电器必需的部分。为“构造基础电路”部分奠定基础。  
不妨示波器观察一下无线充电器的输出电压的时域波形：  
[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-baaa4338242e74598b56111f2880243af5c9948e.jpg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-baaa4338242e74598b56111f2880243af5c9948e.jpg)  
总结一下，我们要向复刻一个无线充电器都需要加入什么部分：

1. 发射端：  
    1） 电源类型（蓄电池、干电池、220V交流电等）  
    2） 传输线圈  
    3） 谐振回路（匹配电路）
2. 接收端：  
    1） 输入端口（了解输入端口相关协议，明确端口电压作用）  
    2） 输入电压处理模块（交流变直流）  
    3） 稳压器模块（匹配电路）  
    4） 认证电压构造、处理模块  
    5） 输出接口

相关参数获取
------

这一步是比较重要的，光有接口，没有这些接口参数，便无法完成复刻。那么我们都需要什么基本参数呢？ 这要看苹果传输线的结构和USB接口的连接方式。（如下图）  
[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-acb41259a19ef2c576bb6b9bffbd315eda7db6c9.jpg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-acb41259a19ef2c576bb6b9bffbd315eda7db6c9.jpg)

[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-01a9cc3c5567584bb443568abfc78a46433f391b.jpg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-01a9cc3c5567584bb443568abfc78a46433f391b.jpg)  
这两张图便可以很清楚的说明一些。先讲USB端口部分，将充电线比较完好的拆开，金属外壳去除之后，是胶质包裹在电路上起到保护作用。我这里是通过偏口钳慢慢剪开，防止灼烧方式损害原本电路。呈现出右图的样子。看到这里一些熟悉硬件接口的师傅们便可以得出usb端口这侧不存在认证过程，就是电源的直联。  
不放心或者不熟悉的小伙伴把这个包开的usb接口插回到原有充电器上用示波器万用表面可以验证。（这一点很关键，大大降低了我们复刻的难度值）  
再来是讲中间传输线，苹果的数据线与安卓线不同，中间有六股线（如左图），分别是红线Vcc、白线D-、绿线D+和三股裸线（GND）。左图里面呈现的4股线是我将他们穿绕在一起上锡的样子，一根裸线过于脆弱。  
其实，三根裸线的类型判定有两种验证方法：1、usb接口端只有4种线，那么就意味着三根裸线必然是和右图的黑线等电势。2、最直接的usb上电，拿万用表一测便可。  
说到这里我们已经成功了1/4,下面就是电路的参数测定。最重要的Vcc的大小，这个看一下我们的原装充电器上的基本参数便可以得知——5V。（示波器验证)  
[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-906ed3cd1516d048848a6504e514647583d21874.jpg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-906ed3cd1516d048848a6504e514647583d21874.jpg)

D-、D+信号线的认证初始电压大小呢？两个都是+2.72V。（如下图）  
[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-65a6f3a11911adb075e70ae530952ff8c0d61c6a.jpg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-65a6f3a11911adb075e70ae530952ff8c0d61c6a.jpg)

到这里，便已经成功了一半了，有个这几组电压，有线充电的目标便可以完成，但我们是对自身有要求的怎么无线充电呢？想法就是通过电路的方式构造这几个电路。

构造基本电路
------

### 理论部分

首先，应假设这个电路的应用环境，要是还需要插在插销上便逊色不少，为此我们这个电路设计的输入额定电压为5V～24V。保证我们的手机不仅可以通过干电池、铅蓄电池等一系列电池充电，还可以用车载电源充电······  
讲完输入一侧，再来讨论一下输出部分。这里的处理方案是将设计的电源处理模块连接lightening充电头给手机充电（类似无线充电卡贴）。  
这里要声明一点我这篇文章并不是要破解苹果原装无线充电器输出电磁波编码，而是从底层电路层面来复现这个无线充电的原理。

先放一个整体电路的实物连接图吧!  
[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-cd248cf5b0d1d17c23d3c20d2163846dac213017.jpeg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-cd248cf5b0d1d17c23d3c20d2163846dac213017.jpeg)

整体电路设计概念图：（其中电源是交流电，后续我会继续出直流转交流电路知识）  
[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-09d6ceca74a3e51fc79701297fe0af1e3cc1a2e9.jpeg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-09d6ceca74a3e51fc79701297fe0af1e3cc1a2e9.jpeg)

稳压与认证信号电压处理部分：  
[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-d57e51d1c2bb0171addabb6b2d932ce2e6ea5098.jpeg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-d57e51d1c2bb0171addabb6b2d932ce2e6ea5098.jpeg)

### 实际部分

需要一定的手工制作，手里功夫欠缺的师傅们，请使用钞能力或用机器制作线圈。

1. loop antenna  
    这里的loop 是用AWG 24的铜丝，在上图中摩丝瓶（大概直径2.5cm）绕20圈。这里各位师傅可以比较随意，我仅仅是为了配合手里有的电容大小才这样选择。
2. LC谐振回路  
    这个部分是能量传输的关键部分，输出端和接收段的谐振频点要一致参考公式f\_0 = 1/(2pi\* sqrt(LC))。 阻抗匹配保证能量不存在反射，以确保充电效率。
3. 倍压整流模块  
    因为从接收线圈中得到的是交流电，是无法直接输入到手机当中的。为此要通过整流电路将将交流电转换成直流，再通过5v稳压器，输出。  
    注：这里使用三倍压整流器的原因是为了匹配负载以及接收线圈的损耗（手工线圈由于形状，loop的波瓣图不是理想的）。加上设计的谐振频点对应的能量传输波长远大于环天线直径，天线方向性D进一步降低。  
    为此，在设计传输线圈是既要考虑尺寸，同时也不能忽略本身电子参数的选择。**一句话表述这里的设计准则，让传输电磁波波长与环天性尺寸差不多。**
4. 认证电压构造  
    所谓认证电压，便是D+、D-两条线的电压大小。通过实验证明当这两条线的电压值为0，即不构造认证电压，是充不上电的。这一点是基于lightening线充电头中的电路逻辑处理得出。D-、D+信号用作内部芯片的逻辑判断依据（会在后续bypass部分，进一步说明）。
5. tips 分享  
    关于传输天线的一些tips（天线大佬可忽略）  
    loop天线的应用主要是尺寸比较小，同时在实际的物理充电情况下，可以手动控制两个线圈磁感线的发出接收比例，但是其物理的拓扑结构对波瓣图的影响比较大。为此，如果真的想要复刻出可以使用的无线充电器，各位还是乖乖地用机器来“盘”线圈。  
    这里的传输天线漆包线盘成的，在连接电路时务必要用打火机或者砂纸去除外面绝缘物质，否则线圈无法传输电力。  
    输出接口我是通过4个芯片夹，连接苹果4种数据线构成的。（如下图）  
    [![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-07aaaa94fc313b357c6e7fd39e7ac403b100138c.jpg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-07aaaa94fc313b357c6e7fd39e7ac403b100138c.jpg)

[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-4389cf2f7e3ab02d26ac60811e34b573c604c402.jpg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-4389cf2f7e3ab02d26ac60811e34b573c604c402.jpg)

绕过bypass 充电认证
-------------

通过实验发现，这两个信号线承载的电压大小不仅仅具有认证作用，还决定着充电的效率。当这两条线的电压值小于1.5V或大于4.1V时，都可以通过iPhone 5s、iPhone 8的充电认证，但是充电效率与这个信号电压大小呈正相关关系。并且随着负载（充电手机）的充电量也接近100%，这两路的电压将越高。  
实验中我们设定的D-、D+信号为2.73V，在充iPhone 8时冲到80%便不再继续变化。为此后续我们将解析lightening充电头内部的芯片，理解D-、D+信号的具体作用。目前还停留在定性阶段，为各位提供一种“自底向上”的研究思路。

实验电路图
-----

5V稳压器模块测试结果（PCB）  
[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-728a67b805068e915d2885412cbee263b055452f.jpeg)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-728a67b805068e915d2885412cbee263b055452f.jpeg)

无线充电基本电路（发射&amp;接收）：  
[![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-80a81b946cd78ba2c82df37cdb0d31a983f2da58.png)](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/06/attach-80a81b946cd78ba2c82df37cdb0d31a983f2da58.png)  
其中，L\_1、L\_2 为线圈，对应c的大小有交流电压源频率决定。R\_L为负载，之间是一个三倍压整流电路。

最终实验
----

详情请见实验视频，分别进行了iPhone 5s 和 iPhone 8 的测试，都成功充上电。  
iPhone 5s 测试视频链接（比较短）：  
<https://www.bilibili.com/video/BV1TX4y1P7oA/>  
iPhone 8 测试视频链接：  
<https://www.bilibili.com/video/BV1k5411T7pf/>

由于本次测试仅仅是个小雏形，在设计之初并没有考虑快充等一些列协议的应用，单从底层接口原理、电磁波特性层面来复刻,为各位奋斗在破解无线充电奥秘的师傅们提供一些来自底层电路的启发。  
本电路中应用的传输线圈是我手工自制的，在性能上只起到了一个传输的基本要求，欢迎感兴趣的大佬们可以从中获得启发，进而改进这个电路，达成自己的攻击效果。  
关于上述防止其他品牌手机串用充电这个因素，仅需给我们自己的这个传输器在能量电路到输出线圈和接收线圈到输出电路之间加上一个特殊的编码器、解码器模块（PT2272解码器、PT2262编码器&amp;多路开关），便可保护自己的品牌独立性了hhhhh！

发表于 2021-07-28 09:39:32
阅读 ( 9227 )
分类：硬件与物联网

3 条评论

乾清雨 2021-07-12 08:02

不麻烦吗？

Mori 2021-07-20 16:27

？？大佬提供个思路。

soufaker 2021-07-28 17:29

。。。。物联网安全还是少见,666