脫焊
遇到加密這種棘手情況�,我不得不去獲得調(diào)制解調(diào)器的固件�����。調(diào)制解調(diào)器單元并不包含可獲取固件的標(biāo)準(zhǔn)化測(cè)試接口(聯(lián)合測(cè)試工作組��,JTAG)����。這就意味著我不得不從調(diào)制解調(diào)器上拆除閃存模塊焊點(diǎn),然后使用適配器板來(lái)讀取固件���。這可不是是一項(xiàng)簡(jiǎn)單的工作����,因?yàn)樾酒?jīng)過(guò)BGA封裝-在脫焊后��,還需要錫球重整(reball)���,然而供應(yīng)商為你提供了關(guān)照��。
Combox的調(diào)制解調(diào)單元加密文本消息
為了分析固件�����,我使用足夠多的I/O管腳和匹配的1.8伏I/O電壓把適配器板的閃存芯片連接到STM32評(píng)估電路板����。只需幾行C代碼,我就通過(guò)評(píng)估電路板的串口連接器把閃存的內(nèi)容提取到PC機(jī)上���。為了分析固件代碼����,我動(dòng)用了神器IDA Pro��。它可以探測(cè)匯編代碼���,而且支持這款調(diào)制解調(diào)器的ARM處理器��。
調(diào)制解調(diào)器的閃存經(jīng)過(guò)脫焊后連接到適配器板(左側(cè))����。讀取固件的方法來(lái)可能看起來(lái)有些荒唐,但確實(shí)有效
通過(guò)IDA Pro工具��,我迅速識(shí)別出固件上多種加密和哈希算法�。這是因?yàn)榱餍屑用芩惴ㄊ褂锰囟ǖ谋砼c常數(shù),它們可以被自動(dòng)化地查找�����;谶@些發(fā)現(xiàn),我可以查找到使用相同加密和哈希算法的其他代碼��。
尋找密鑰
加密秘鑰來(lái)自何處�?作為樂天派,我起初推測(cè)廠商會(huì)為每輛車生成唯一的密鑰�����,并存儲(chǔ)在V850ES微型控制器上�,然后再發(fā)送到蜂窩調(diào)制解調(diào)器。由于在這種假設(shè)場(chǎng)景下查找密鑰需要花費(fèi)大量的工作��,所以我決定繼續(xù)分析應(yīng)急呼叫的協(xié)議��。固件中的特定字符串表明��,它似乎正在使用NGTP協(xié)議(下一代Telematics協(xié)議)。并不令人感到意外��,因?yàn)閷汃R公司是NGTP主要支持者之一����。
為了定義通信協(xié)議,NGTP使用標(biāo)準(zhǔn)符號(hào)表示法ASN.1(抽象語(yǔ)法標(biāo)記1)���。經(jīng)過(guò)分析得知�,該固件使用開源編譯器asn1c來(lái)創(chuàng)建語(yǔ)法���。結(jié)合asn1c工作原理來(lái)查看固件的結(jié)構(gòu)����,我嘗試重構(gòu)接近該協(xié)議所用的ASN.1語(yǔ)法��。這個(gè)步驟是必須的����,因?yàn)镹GTP只是對(duì)協(xié)議如何構(gòu)建給出建議,但并未規(guī)定實(shí)際的實(shí)現(xiàn)細(xì)節(jié)�����。
