Combox內(nèi)部構(gòu)造:除了其他東西�����,控制單元會(huì)將寶馬汽車的ConnectedDrive服務(wù)連接到在線服務(wù)器。它的調(diào)制解調(diào)器可以看到位于電路板的右上角��。
Combox所使用的CPU是SH-4A���,一款Renesas生產(chǎn)的功能強(qiáng)大的32位RISC處理器�����。產(chǎn)自Cinterion(原屬西門子)的調(diào)制解調(diào)器完成設(shè)備的移動(dòng)通信功能����。同時(shí)����,該設(shè)備也使用一款Renesas 生產(chǎn)的V850ES型微控制器�����。選擇V850ES想必是看中了它的低功耗�,即使在車已經(jīng)停下且引擎不運(yùn)行的情況下,也能夠讓調(diào)制解調(diào)器接收消息�����。但SH-4A較大的功率需求將會(huì)很快耗盡電池存儲(chǔ)的電量。
拆卸
剛開始�����,我從車上拆下COMBOX模塊�,并把它連接到AC適配器,再激活模塊的應(yīng)急功能���,此功能通常通過駕駛艙內(nèi)的按鈕觸發(fā)�����。通過查看主板上的模塊�,我識(shí)別出電源線的管腳及連接器(connector)上的應(yīng)急按鈕���。互聯(lián)網(wǎng)上的資料搜集提供了另一種可行的路徑:通過下載面向?qū)汃R汽車維修中心的診斷軟件��,它描述了管腳配置信息�。為了記錄COMBOX在移動(dòng)網(wǎng)絡(luò)中產(chǎn)生的流量�,我使用基站搭建了測試環(huán)境。這個(gè)基站可以支持OpenBSC���,從而模擬了一個(gè)蜂窩網(wǎng)絡(luò)���。(寶馬和基站都買不起����,腫么辦�?)
使用類似SysmoBTS或nanoBTS的基站來模擬蜂窩網(wǎng)絡(luò)��,記錄控制單元的數(shù)據(jù)流
當(dāng)按下應(yīng)急按鈕時(shí)�,Combox發(fā)送文本消息,然后發(fā)起語音呼叫���。文本消息經(jīng)加密處理�����,無法透漏任何可識(shí)別的特征。在應(yīng)急模式被觸發(fā)的每次測試中����,發(fā)送的數(shù)據(jù)看起來都不一樣,暗示著數(shù)據(jù)可能經(jīng)過加密過處理�����。
為了查明數(shù)據(jù)在什么地方加密,我記錄蜂窩調(diào)制解調(diào)器與V850ES微控制器之間的傳輸數(shù)據(jù)�,該流量通過串行線路傳輸。為了解調(diào)制解調(diào)器上連接器的配置�,我咨詢了網(wǎng)上可以查到的所有型號(hào)。因?yàn)槲以诖芯路上記錄的數(shù)據(jù)中無法找到應(yīng)急文本消息����,我斷定應(yīng)急消息的創(chuàng)建和加密位于調(diào)制解調(diào)器。這個(gè)假設(shè)是合理的����;可以擴(kuò)展蜂窩調(diào)制解調(diào)器來提供這樣的功能。
