# 掌阅iReader smart xs pro 安装第三方软件笔记 # 概述 2021年11月入手掌阅iReader smart xs pro,当时主要是为了做笔记,觉得自己不看多少杂七杂八的东西,所以非开放系统也不错。但入手之后发现掌阅在PDF方面的技术水平实在拉胯,KOReader都开源这么多年了,纯扫描PDF居然还是无法重排,这就很需要搞一搞了。 然而,当时只有若干淘宝店做破解生意,要价二百,要求远程操作。二百不多,但远程操作确实有安全隐患,也就拖着了。今日发现[[https://hksanduo.github.io/2021/11/09/2021-11-09-ireader-smart-xs-pro-crack|有大神找到了一个漏洞并且成功安装了第三方APK]],遂照做成功,笔记如下。 ## 先看结论 [[https://hksanduo.github.io/2021/11/09/2021-11-09-ireader-smart-xs-pro-crack|原始文章]]的{{ :hardware:eink:掌阅ireader_smart_xs_pro_安装第三方软件.7z | 存档文件}}以备不时之需。需要与本文对照阅读。 此文发布日期2022年1月9日,此时xs pro阅读器系统版本`10.6.0.93`,软件版本`6.10010.1093(109969)`,不知后续版本是否会封堵漏洞。从趋势来看,这一信息已经在扩散途中,厂家不会完全不知道。奉劝厂家枪口抬高一寸,因为对于这类用途,你封了漏洞也是不会增加书城销量的。 在[[https://kikicoding.cn/ireadersmart2.html|此处有人搭了一个傻瓜服务器]],确实方便,但安全风险多少还是有的。自私一点来说,这类服务器的存在很大地增加了此漏洞被封堵的风险…… # 主要步骤 这里简要记录步骤,与原文的探索性质不同,略简单一点点,对操作的要求略低一点点。 ## 准备好要安装的apk文件,构建一个web服务器 原文用的是docker,实际上`python`自带的服务器模块也够用了,`python -m http.server 8000`启动。 根据原文最后一段,查看版本决定是否需要把APK压缩(不是改名!)成`zip`. 用`aapt`工具查看APK包名并记录,`aapt.exe dump badging .\Coolapk-11.4.7-2112231-coolapk-app-sign.apk`. ## 准备burpsuite软件 下载,破※,运行,确保可以正确拦截网络请求。 此处有一处与原文不一样:原文写的是拦截全部包并且手动识别、修改,实操发现手速不够的话,阅读器那边就报错超时了。这个问题可以通过设置拦截规则来解决:关闭所有对出站`Request`的拦截;对于响应`Responses`,设置按`Request`的`Contain parameter`拦截,匹配规则为`Wink_AppStore`,这样实现了自动把需要修改的响应展示出来的功能,省去了在“阅读出站-右键点击-Do intercept-> Reponse to this request”上花费的时间。 注意`burpsuite`的代理设置,不能是`127.0.0.1:xxx`,这样只有本机可以访问。要监听局域网地址。 ## 修改响应 1. 在阅读器上设置代理,指向`burpsuite`的代理; 2. 在阅读器进入应用商店页面; 3. `burpsuite`处弹出响应,快速将其中微信读书的`com.tecent.weread.eink`修改为你的apk(例如酷安`com.coolapk.market`),单击`Forward`; 4. 在阅读器单击“下载”(事先需要卸载微信读书,否则此处是“打开”); 5. `burpsuite`处弹出响应,快速将其中的几个空括号替换为下文提到的那一大段响应,单击`Forward`; 6. 如果正常,`burpsuite`可能会继续显示几个响应,主要是在从你自己的服务器下载安装包,一律点击`Forward`放行。 7. 如果手速满了,可能会重复弹出一样的数据包,但这时候多半已经来不及修改第二个数据包了,重来吧。 ### 响应数据包的构建 放行所有数据,正常安装一次微信读书,把网址响应数据包留下来做模板,并修改其中的`appName`和`appUrl`字段,最后大概这样: {"code":0,"msg":"","body":{"id":2,"name":"\u5fae\u4fe1\u8bfb\u4e66","icon":"http:\/\/book.img.ireader.com\/idc_1\/m_1,w_300,h_400\/75013979\/group61\/M00\/EE\/E0\/CmQUOGEwpDqEX51AAAAAAAeM1VA414608802.png?v=ckr1QuK3&t=CmQUOGEwpDo.","appVersion":"V1.8.3","appSize":"23.0MB","categoryId":2,"appName":"com.coolapk.market","appUrl":"http://192.168.1.99:8000/Coolapk-11.4.7-2112231-coolapk-app-sign.zip","appDesc":"","explain":""}} 其中`http://192.168.1.99:8000/Coolapk-11.4.7-2112231-coolapk-app-sign.zip`是一开始所构建的服务器的下载地址,提前确认可以下载。 粘贴到`burpsuite`时会自动排版。 ## 开启安装权限 有两个办法,一个是按原文写的那样开启,我确实实践了一遍。 第二个可能太简单了以致于原作没有想到,或者近期厂家改了:插上数据线,拷贝一个`apk`文件到储存卡,进入酷安(或者随便什么别的文件管理器,我用的是`Root Explorer/RE浏览器`),在`应用管理`-`安装包`那里找到这个`apk`,点击安装,系统后询问你是否允许此应用安装未知来源应用,点击允许会弹出此`app`的权限设置界面,此处可能有大面积黑块,往黑块右下角点,那里是开关,然后就成了。 ## 其他 酷安,在前几次进入的时候,很容易闪退,重复几次之后基本不崩溃了。