동기

얼마전에 운좋게도 semi-untethered 탈옥이 가능한 마지막 iPad 16.6.1이 설치된 아이패드 7세대를 중고로 구하게 되었다.

최대 iPadOS 18 버전까지 지원하며, checkm8 부트롬 취약점이 가능한 마지막 기기이에 충분히 구입할 메리트가 있었다.

iPadOS 18 최신버전까지 올린 뒤, 추후 다시 iPadOS 16.6.1 옛날버전으로 복원할 수 있는 방법에 관해 간단히 남기려고 한다.

애플은 iOS/iPadOS 기기를 옛날 버전으로 다운그레이드하려면 서버 서명이 필요한데, 이런거 필요없이 checkm8 + sep 취약점으로 onboard로부터 shsh2+cryptex blob만 백업해두면 언제든지 해당버전으로 복원할 수 있다.

환경

• macOS 26.0 설치된 M3 맥북 에어
• iPadOS 16.6.1 설치된 아이패드 7세대 (Dopamine 탈옥됨)
• 맥북과 아이패드 usb 연결 필요

방법

1. 아이패드 7세대에서 아래 Repo를 Sileo에서 추가한다.
   https://cydia.ichitaso.com/secret-repo
2. libkrw0, libkrw0-tfp0, libx8a4-1, x8A4 4개의 패키지를 설치해준다. 추가로 openssh-server까지 설치해야된다.

1. Legacy-iOS-Kit 프로젝트를 git clone해서 가져온고 onboard로부터 shsh2 blobs를 저장한다. https://github.com/LukeZGD/Legacy-iOS-Kit

그리고 터미널 연다음, 해당 프로젝트 경로에서 ./restore.sh 실행.

순서대로
Restore/Downgrade

Onboard Blobs

아이패드 내의 mobile password 입력

그러면 Successfully saved 16.6.1 blobs 문구가 뜨면서 저장된다.
중간에 palera1n_get_slide 관련 에러가 떴는데, Dopamine으로 탈옥했기에 상관없을 듯 싶다.

4. 아래 링크에서 turdus merula를 다운받아 16.6.1 버전으로 복원해본다.
현재 글 작성 기준 v1.1이 최신버전이었다.
https://sep.lol/

/usr/bin/xattr -cr ./bin

shsh2 파일에서 generator 값을 확인한다.

./bin/turdusra1n -Db [generator]

DFU 모드로에 진입시킨다.

그러면 pwned DFU mode로 진입이 완료된다.

./bin/turdus_merula -w --load-shsh [shsh blob] [ipsw file]

복원하기 위한 마지막 명령어다. 1 입력하고 YES 입력한다음, 기다리면 끝.

기다리다보면 쭉쭉 진행바가 차면서 복원이 완료된다.

5. 복원 완료

참고 자료

https://ios.cfw.guide/turdusmerula-macos/?tab=a10(x)-devices

https://github.com/LukeZGD/Legacy-iOS-Kit/wiki/Saving-onboard-SHSH-blobs-of-current-iOS-version

https://ichitaso.com/ios/shsh/how-to-save-shsh-for-cryptex1