0x00:说在前面

最近技术圈有个事挺火的，Github上小鹏上了热搜，因为一直以来以封闭著称的小鹏车机，被人发现了漏洞。

这件事其实可以分成两个阶段，第一个阶段是应用商城的更新流程出现校验漏洞，用替换的apk狸猫换太子，装上了第三方app。这时候其实并没有掀起什么波澜。而漏洞本身也只限于安装一些第三方app而已。而笔者在20年提车后就试过替换法，不过走的是新安装的流程，没有遇到这个bug，不然应该被我早发现2年，哈哈。

第二个阶段是有大佬把系统内置的调试桥，adb的解锁方法给爆出来了。还放在了github上，这样一来几乎所有的小鹏车主（用小鹏的说法是大概30万出头），都有机会接触到这个方法。你知道，国外的什么网站，用户数和中国的一比，那差了远了，这事一放上github，搜索量一下就上来了。于是也被一些技术流的网站放在了新闻上，这一转二转，就转回了国内新闻流，头条驱家什么的也都报了。这样一下子知道的人更多了起来。

其实这也说明小鹏的车主群体还是有一部分愿意折腾的，而这个群体在没有形成一定规模的时候，根本不可能有人闲到去搞这样的东西。

0x01:车机封闭，你倒是给我放点东西

小鹏的应用商店贫瘠程度堪比撒哈拉，G6的商店居然UI都塞不满，拿超市比喻那这个超市估计要跑路了。后来折腾了快一个月，一开始是装点地图，为了个红绿灯计时，更新了抖音，装了几个浏览器啊什么的，没有什么其他的想法，毕竟820这个芯片我在N年前是用过的，没错，小米5同款。它有几斤几两心里非常清楚。这时候的目的也就是更新一下小鹏没空更新的app，增加一些可有可无的功能比如Spacedesk，影视仓，游戏模拟器这类。其实更多的是噱头，真用起来我估计随身的设备性能要强几倍。

0x02：USB的狂欢

其实对于Android主机来说，一个孱弱的SoC不是问题，它只要能完成一个平台的事就行了，剩下的就是各种外设发挥的舞台，比如USB的采集卡可以采集HDMI信号到车机的USB摄像头APP回放，实现Switch游戏机的接入。USB键盘鼠标直接触发截图等快捷操作，更方便使用Termux。比如Carplay盒子等等，只要USB Host还在工作，这些其实都是外设带来的功能提升。车机它本身的处理器是不是强大，不重要。

0x03：adb Shizuku 和其它

第一次听说Shizuku是在MT管理器里，觉得可能有用就随手装了，结果反而成了最重要的一步。没有它几乎就不可能获取足够的权限。当然真正用起来，是获取adb之后的事了。这时候装了一堆工具类的东西，比如Termux和VMOS，严格的说已经超出了车机所应该承担的任务，更多是对小鹏整个车机的探索。比如4G网络来源是USB设备，比如……

当你有了adb之后就想着要保活adb，不然的话曾经拥有的感觉真的是太糟糕了。所以就有了Setedit和a shell等一系列以保adb为目的的app，但是以目前来看，想要脱离车子本身的调试菜单去打开adb还是有亿点困难。有了Shizuku之后还可以用app ops给权限，用a shell装输入法。

0x04：归宿

当你试了几十个应用，开了无数权限，最终的成果居然还是Carplay，配合USB盒子自动打开App自动连接，导航音乐输入一站式解决，也完美符合820做平台，手机负责计算的原则。如果你有安装第三方应用的方法，也用着iphone手机，不要犹豫了，直接买个盒子解决一切战斗。

0xFF：彩蛋

当然，在折腾这件事上，你有了归宿，别人可不一定。所以我决定把系统里发现的一些指令公开放在这里，怎么用，如何用，不要问我我也不知道。

Enjoy, have fun.

代码 功能

*#4227*111#*  中控进入工厂测试

*#4227*2#*  整车工厂测试

工厂测试类 

*#9387*111#*  回到主桌面

*#9387*121#*  语音识别测试模块

*#9387*122#*  AIOS设置

*#9387*123#*  诊断故障码

*#9387*131#*  打开抓取日志功能

*#9387*132#*  恢复出厂设置，重启设备

*#9387*133#*  预发布环境配置

*#9387*134#*  CAMERA视频文件拷贝

*#9387*135#*  配置CFC

*#9387*141#*  设置一些系统功能

*#9387*142#*  GPS NMEA数据抓取功能

*#9387*143#*  4G APN切换功能

*#9387*151#*  OTA

*#9387*161#*  PC工具服务

*#9387*171#*  一键诊断修复功能

*#9387*211#*  进入智能驾驶测试功能

*#9387*212#*  进入心率检测功能

*#9387*213#*  NEDC模式

*#9387*214#*  XPU激活

*#9387*215#*  车顶摄像头

*#9387*2#*  XPU检测功能

*#9387*315#*  ALS标定功能

*#9387*321#*  工厂模式

*#9387*311#*  进入硬件测试功能

*#9387*312#*  进入MODEM UI功能

*#9387*313#*  硬件DV验证

*#9387*314#*  CAN报文获取

*#9387*411#*  设置驾驶模式功能

*#9387*511#*  离线地图拷贝功能

研发调试类 

*#9925*111#*  Xmart、MCU 系统及硬件版本号 uniqueID

*#9925*121#*  查看各应用的版本号

*#9925*131#*  设备唯一码信息

*#9925*211#*  显示各 ECU 版本号信息

信息查看类 

*#9723*111#*  OLED测试模式

*#9723*121#*  展车模式

*#9723*122#*  试驾模式

*#9723*131#*  AI宣传视频

*#9723*211#*  国标检测

演示菜单类 

*#7494*111#*  售后重置功能

*#7494*121#*  售后维修模式

*#8#*  售后工具

*#400#*  授权模式

售后服务类 

*#1224#*  平安夜

*#1225#*  圣诞节

*#0101#*  元旦