rebreak-monorepo/ops/mdm/supervise-magic/README.md

# ReBreak Supervise Magic

Go-CLI das ein **unsupervised iPhone/iPad** ohne Datenverlust in den supervised-Zustand überführt.

Mechanismus: Direktes Schreiben von `Library/ConfigurationProfiles/CloudConfigurationDetails.plist` via Apple's Lockdown-Protokoll (`gidevice`-Library, kein Apple Configurator nötig). Reverse-engineered aus TechLockdown's Supervise-Tool (2026-05-26).

**Unterschied zum Legacy [`bootstrap-tool/rebreak-supervise.sh`](../bootstrap-tool/rebreak-supervise.sh):** Kein Backup-Restore-Round-Trip, kein Erase. Nur Plist-Inject + Reboot.

## Status

🚧 Phase 1 — CLI MVP. Phase 2 (Mac-UI-Wrapper) geplant.

## Voraussetzungen

| Was | Wie |
|---|---|
| Go 1.22+ | `brew install go` |
| iPhone via USB | USB-C-Kabel, „Diesem Computer vertrauen" geklickt |
| Find My iPhone aus | `Settings → [Name] → Wo ist? → Mein iPhone suchen → Aus` |
| iPhone-Bildschirm entsperrt | Damit Trust-Prompt akzeptiert werden kann |

## Build

```bash
make tidy   # einmalig: dependencies auflösen
make build  # → bin/rebreak-supervise-magic
```

Universal-Binary (Intel + ARM):

```bash
make build-universal
```

## Usage

```bash
# Status checken
./bin/rebreak-supervise-magic check

# Supervise auslösen (interaktiv, mit Confirmations)
./bin/rebreak-supervise-magic supervise

# Verbose-Mode für Debug
./bin/rebreak-supervise-magic -v supervise

# Reverse: Supervised → Unsupervised (Plist zurückschreiben)
./bin/rebreak-supervise-magic unsupervise
```

## Delta-Workflow (current vs legacy)

Wenn das Ziel nur ist, die verbleibenden Ablauf-Unterschiede sichtbar zu machen,
nutze die Profile unter `tools/`:

```bash
# Aktueller Default-Flow
./tools/ab-profile.sh current <udid> ReBreak

# Legacy-Flow (nahe 01374c4) zur A/B-Reproduktion
./tools/ab-profile.sh legacy <udid> ReBreak
```

Die Delta-Matrix mit den drei harten Unterschieden steht in
`tools/delta-matrix.md`.

## Mechanismus im Detail

1. **Pair + Trust** — gidevice verbindet sich zu `lockdownd` via `usbmuxd`. Falls iPhone noch nicht trusted, wird Trust-Prompt am iPhone gezeigt.
2. **Pre-Flight** — UDID + ProductType + OS-Version dumpen. Find-My-iPhone-Status checken (muss aus sein).
3. **Plist-Build** — `CloudConfigurationDetails`-Go-struct → XML-Plist via `howett.net/plist`. Felder: `IsSupervised=true`, `IsMDMUnremovable=true`, `OrganizationName="ReBreak"`, `EscrowBag` optional.
4. **Plist-Write** — Via `MCInstall`- oder `AFC`-Service ins iPhone-Filesystem-Container `Library/ConfigurationProfiles/CloudConfigurationDetails.plist`.
5. **Reboot** — Lockdown-Reboot-Command. Wait-for-Re-Connect-Loop.
6. **Verify** — IsSupervised-Status via Lockdown-Query erneut lesen. Supervision sollte jetzt aktiv sein.
7. **Settings-Check (manual)** — iPhone-Settings → „Verwaltet von ReBreak" sichtbar.

## Sicherheits-Hinweise

- Tool macht USB-only, kein Network-Channel.
- iPhone behält alle Apps, Daten, Login-States (kein Backup-Restore-Round-Trip).
- Reverse-Operation (`unsupervise`) wirkt symmetrisch — Plist-Felder zurückschreiben + Reboot.
- Apple-Compliance: gleiche Public-API wie iMazing/TechLockdown nutzen. Siehe Memory `techlockdown-reverse-engineering`.

## Apple-Walls die wir damit umgehen

- ✅ Erase-Required für Supervision via Apple Configurator
- ✅ ABM/DEP-Enrollment für Supervised-Mode

## Apple-Walls die bleiben

- ❌ FMI muss vorher aus (Activation-Lock-Constraint)
- ❌ iOS-Update kann das jederzeit patchen (bisher 5+ Jahre nicht)

## Lizenz & Distribution

Phase 1: nur lokal nutzbar (Personal + Friends). Keine Mac-App-Store-Distribution geplant. Notarization nur falls wir Phase 2 (Mac-UI) als Distribution-Tool releasen.