Exploit for CVE-2022-38694

Name: Exploit for CVE-2022-38694
Rating: 5 (4 reviews)
2026-06-12 | CVSS 7.8
## https://sploitus.com/exploit?id=505F1E52-4323-5C51-843E-6F1628F070BF
# ZTE Blade X1001 — Root con Magisk (Android 15, Unisoc UMS9230)

> ⚠️ **ADVERTENCIA:** Rootear un dispositivo puede anular la garantía, brickear el dispositivo si se hace incorrectamente, y eliminar todos los datos. Procede bajo tu propia responsabilidad. Este repositorio es únicamente de carácter educativo.

---

## Índice

- [Información del dispositivo](#información-del-dispositivo)
- [Requisitos previos](#requisitos-previos)
- [Fase 0 — Verificar el dispositivo](#fase-0--verificar-el-dispositivo)
- [Fase 1 — Preparación en Windows](#fase-1--preparación-en-windows)
- [Fase 2 — Ejecutar el exploit CVE-2022-38694](#fase-2--ejecutar-el-exploit-cve-2022-38694)
- [Fase 3 — Parchear e instalar Magisk](#fase-3--parchear-e-instalar-magisk)
- [Verificación final](#verificación-final)
- [Solución de problemas](#solución-de-problemas)

---

## Información del dispositivo

| Campo | Valor |
|---|---|
| Modelo | ZTE Blade X1001 |
| Firmware | C1.0.10_X1001_EEA |
| Android | 12 |
| Parche de seguridad | 2025-09-05 |
| Procesador | Unisoc T606 (UMS9230) |
| Almacenamiento | UFS |
| Sistema de particiones | A/B |
| Slot activo por defecto | `_b` |

---

## Requisitos previos

**Software necesario (todos en Windows):**

- [ADB + Fastboot — Android Platform Tools](https://developer.android.com/tools/releases/platform-tools)
- [SPD Research Driver R4.20.4201](https://www.mediafire.com/file/6tyqy7lhgjv8x2c/SPD_Driver_R4.20.4201.zip/file) — fabricante: UNISOC Communications Inc.
- [Script exploit CVE-2022-38694 — ums9230_universal_unlock (build UFS)](https://github.com/TomKing062/CVE-2022-38694_unlock_bootloader/releases/download/1.72/ums9230_universal_unlock.zip)
- [Magisk APK](https://github.com/topjohnwu/Magisk/releases/latest)

**Hardware:**
- PC con Windows 10/11
- Cable USB directo al PC (sin hubs)
- Tablet con batería > 30 %

---

## Fase 0 — Verificar el dispositivo

Antes de empezar, confirma que tu dispositivo coincide con este perfil. Con ADB activo y la tablet conectada, ejecuta estos comandos uno a uno:

```bash
adb shell getprop ro.board.platform
adb shell getprop ro.hardware
adb shell getprop ro.bootloader
adb shell getprop ro.build.version.security_patch
adb shell cat /proc/cpuinfo | head -20
adb shell ls -la /dev/block/ | grep -E "mmcblk|sd[a-z]"
```

Con estos resultados puedes confirmar:
- El chipset es **UMS9230**
- El almacenamiento es **UFS** (aparecerá como `sda`/`sdb`/`sdc`, no `mmcblk`)
- El exploit CVE-2022-38694 es aplicable

> Si el almacenamiento aparece como `mmcblk`, usa la build **eMMC** del script en lugar de la UFS.

---

## Fase 1 — Preparación en Windows

### 1.1 — Instalar el driver SPD

1. Descarga y extrae `SPD_Driver_R4.20.4201.zip`
2. **Desconecta la tablet del PC**
3. Ejecuta el instalador como **administrador**
4. Verifica en el **Administrador de dispositivos** que el driver aparece correctamente bajo UNISOC Communications Inc.

### 1.2 — Preparar el script de unlock

1. Descarga `ums9230_universal_unlock.zip` (build UFS)
2. Extrae el contenido en una ruta sin espacios, por ejemplo:
   ```
   C:\unisoc_unlock\
   ```

### 1.3 — Verificar Platform Tools

Confirma que tienes ADB y Fastboot disponibles. Si los instalaste con Android Studio, suelen estar en:

```
C:\Users\TU_USUARIO\AppData\Local\Android\Sdk\platform-tools\
```

Para usarlos desde cualquier carpeta, añade esa ruta a las variables de entorno del sistema (`PATH`).

---

## Fase 2 — Ejecutar el exploit CVE-2022-38694

Este exploit escribe directamente en la zona de configuración del bootloader a través del modo BROM (Boot ROM), cambiando el flag `oem_unlocked` a nivel de hardware y saltándose la verificación de ZTE.

### Checklist previa

- [ ] Driver SPD instalado y verificado en el Administrador de dispositivos
- [ ] Script extraído en `C:\unisoc_unlock\` (sin espacios en la ruta)
- [ ] Batería de la tablet > 30 %
- [ ] Cable USB directo al PC, sin hubs

---

### Paso 1 — Abrir CMD como administrador en la carpeta del script

En el Explorador de Windows, navega a `C:\unisoc_unlock\`. Haz clic en la barra de direcciones, escribe `cmd` y pulsa Enter. En la ventana que se abre:

```cmd
unlock_autopatch_9230.bat
```

Verás el mensaje `Waiting for device...` — el script queda a la espera.

---

### Paso 2 — Entrar en modo BROM

Con el script esperando:

1. Desconecta el USB de la tablet
2. Apaga la tablet **completamente** (no reiniciar; espera a que la pantalla quede negra y sin vibración)
3. Mantén pulsado **Volumen Abajo**
4. Con el botón pulsado, conecta el USB al PC
5. Mantén el botón 2–3 segundos más y suéltalo

**Cómo saber que funcionó:**

En el Administrador de dispositivos aparecerá un nuevo dispositivo bajo *Puertos (COM y LPT)* con un nombre similar a:
- `Spreadtrum Phone`
- `SPRD U2S Diag (COMx)`
- `SPD...`

> Si aparece con triángulo amarillo → reinstala el driver SPD.  
> Si no aparece nada tras 5 intentos → prueba con **Volumen Arriba** en lugar de Volumen Abajo.

---

### Paso 3 — El script se ejecuta automáticamente

Una vez detectado el dispositivo, el script avanza solo. Verás mensajes similares a:

```
[*] Waiting for device in BROM mode...
[*] Device found!
[*] Connecting to BROM...
[*] Reading chipset info... UMS9230
[*] Sending exploit payload...
[*] Bypassing DAM...
[*] Writing unlock flag...
[*] Done! Rebooting device...
```

⚠️ **Durante todo el proceso:**
- NO desconectes el USB
- NO pulses ningún botón en la tablet
- NO cierres la ventana del script
- La pantalla de la tablet puede quedarse negra — es normal

Duración estimada: **1 a 3 minutos**

---

### Paso 4 — Confirmar el desbloqueo

Al reiniciar, la tablet puede mostrar un aviso naranja/amarillo:

> *Your device software can't be checked for corruption. Please lock the bootloader.*

Eso es buena señal. Para confirmarlo por comandos:

```cmd
adb reboot bootloader
fastboot getvar unlocked
```

El resultado debe ser `unlocked: yes`.

Además, el script habrá generado automáticamente un archivo `boot.bin` en la carpeta `C:\unisoc_unlock\`. Renómbralo a `boot.img`:

```cmd
copy C:\unisoc_unlock\boot.bin C:\unisoc_unlock\boot.img
```

---

## Fase 3 — Parchear e instalar Magisk

### Paso 1 — Instalar el APK de Magisk en la tablet

```cmd
adb install C:\ruta\al\Magisk.apk
```

O descárgalo directamente desde el navegador de la tablet desde [github.com/topjohnwu/Magisk/releases/latest](https://github.com/topjohnwu/Magisk/releases/latest).

### Paso 2 — Enviar boot.img a la tablet

```cmd
adb push C:\unisoc_unlock\boot.img /sdcard/boot.img
```

### Paso 3 — Parchear boot.img con Magisk

1. Abre la app **Magisk** en la tablet
2. Pulsa **Install → Select and Patch a File**
3. Selecciona `/sdcard/boot.img`
4. Magisk generará un archivo parcheado en `/sdcard/Download/` con un nombre similar a `magisk_patched-XXXXX_XXXXX.img`

### Paso 4 — Recuperar el archivo parcheado al PC

```cmd
adb pull /sdcard/Download/magisk_patched-XXXXX_XXXXX.img C:\unisoc_unlock\magisk_patched.img
```

### Paso 5 — Flashear en la partición boot del slot activo

```cmd
adb reboot bootloader
fastboot flash boot_b C:\unisoc_unlock\magisk_patched.img
fastboot reboot
```

> Si tu slot activo no es `_b`, ajusta el comando a `boot_a`.

---

## Verificación final

Tras el reinicio, abre la app Magisk. Si aparece como instalado y con versión, el root está activo. Puedes comprobarlo también con cualquier app de verificación de root.

---

## Solución de problemas

| Problema | Posible causa | Solución |
|---|---|---|
| El dispositivo no aparece en BROM | Combinación de botones incorrecta | Prueba Volumen Arriba en lugar de Volumen Abajo |
| Dispositivo con triángulo amarillo | Driver SPD no instalado correctamente | Reinstala el driver como administrador con la tablet desconectada |
| `fastboot getvar unlocked` devuelve `no` | El exploit no completó correctamente | Repite la Fase 2 desde el inicio |
| Magisk muestra "Requires Additional Setup" | Instalación incompleta | Sigue las instrucciones dentro de la app y reinicia |
| La tablet no arranca tras flashear | Slot incorrecto | Entra en bootloader y flashea en el slot contrario (`boot_a` / `boot_b`) |

---

## Créditos

- Exploit CVE-2022-38694: [TomKing062](https://github.com/TomKing062/CVE-2022-38694_unlock_bootloader)
- Magisk: [topjohnwu](https://github.com/topjohnwu/Magisk)

---

*Documentación elaborada sobre ZTE Blade X1001, firmware C1.0.10_X1001_EEA, Android 12.*