Is é mo sheanchaitheamh aimsire é tiomántáin fhéinchriptiúcháin sheachtracha a aisiompú agus a hackáil. San am atá caite, bhí an deis agam cleachtadh a dhéanamh le samhlacha den sórt sin mar Zalman VE-400, Zalman ZM-SHE500, Zalman ZM-VE500. Díreach le déanaí, thug comhghleacaí taispeántas eile dom: Patriot (Aigo) SK8671, atá tógtha de réir dearadh tipiciúil - táscaire LCD agus méarchlár chun cód PIN a iontráil. Sin a tháinig as…
1. Réamhrá
Tithíocht
Pacáil
Déantar rochtain ar na sonraí atá stóráilte ar an diosca, a cheaptar a bheith criptithe, tar éis an cód PIN a chur isteach. Cúpla nóta tosaigh ar an ngléas seo:
- Chun an cód PIN a athrú, ní mór duit F1 a bhrú roimh dhíghlasáil;
- Caithfidh idir 6 agus 9 ndigit a bheith sa chód PIN;
- Tar éis 15 iarracht mícheart, glantar an diosca.
2. Ailtireacht crua-earraí
Gcéad dul síos, déanaimid an gléas a roinnt ina chodanna chun a thuiscint cad iad na comhpháirteanna atá ann. Is é an tasc is tedious an cás a oscailt: a lán de na scriúnna micreascópacha agus plaisteach. Tar éis dúinn an cás a oscailt, feicimid na rudaí seo a leanas (tabhair aird ar an gcónascaire cúig bioráin a shádraigh mé):
2.1. Príomhbhord
Tá an príomhchlár simplí go leor:
Na codanna is suntasaí (féach ó bhun go barr):
- cónascaire le haghaidh táscaire LCD (CN1);
- tweeter (SP1);
- Pm25LD010 () Tiomántán splanc SPI (U2);
- Rialaitheoir Jmicron JMS539 () le haghaidh USB-SATA (U1);
- Cónascaire USB 3 (J1).
Stórálann an tiomáint flash SPI an firmware do JMS539 agus roinnt socruithe.
2.2. Bord táscaire LCD
Níl aon rud suntasach ar an mbord LCD.
Amháin:
- Táscaire LCD de bhunadh anaithnid (is dócha le sraith cló Síneach); le rialú seicheamhach;
- Ceanglóir ribín do mhéarchlár.
2.3. Méarchlár méarchlár
Nuair a bhíonn an méarchlár á scrúdú, glacann rudaí seal níos suimiúla.
Anseo, ar an taobh chúl, feicimid cónascaire ribín, chomh maith le microcontroller Cypress CY8C21434 PSoC 1 (dá ngairfear PSoC go simplí é)
Úsáideann CY8C21434 an tacar treoracha M8C (féach ). Ar [leathanach táirge]( () cuirtear in iúl go dtacaíonn sé leis an teicneolaíocht (réiteach ó Cypress, le haghaidh méarchláir capacitive). Anseo is féidir leat an cónascaire cúig-bioráin a shádráil mé a fheiceáil - is cur chuige caighdeánach é seo chun ríomhchláraitheoir seachtrach a nascadh trí chomhéadan ISSP.
2.4. Ag féachaint ar na sreanga
Déanaimis amach cad atá ceangailte anseo. Chun seo a dhéanamh, ní gá ach na sreanga a thástáil le ilmhéadar:
Mínithe ar an léaráid seo ar na glúine:
- Déantar cur síos ar an PSoC sa tsonraíocht theicniúil;
- is é an chéad chónascaire eile, an ceann ar dheis, an comhéadan ISSP, a fhreagraíonn, de réir toil cinniúint, don mhéid atá scríofa faoi ar an Idirlíon;
- Is é an cónascaire rightmost an teirminéal don chónascaire ribín chuig an méarchlár;
- Is líníocht den chónascaire CN1 é an dronuilleog dubh, atá deartha chun an príomh-bhord a nascadh leis an mbord LCD. Tá P11, P13 agus P4 ceangailte le bioráin PSoC 11, 13 agus 4, ar an mbord LCD.
3. Seicheamh céimeanna ionsaithe
Anois go bhfuil a fhios againn cad iad na comhpháirteanna atá sa tiomáint seo, ní mór dúinn: 1) a chinntiú go bhfuil an fheidhmiúlacht bhunúsach criptithe i láthair i ndáiríre; 2) a fháil amach conas a ghintear / shábháil eochracha criptithe; 3) faigh amach cá háit go díreach a dhéanfar an cód PIN a sheiceáil.
Chun seo a dhéanamh rinne mé na céimeanna seo a leanas:
- ghlac dumpáil sonraí ó thiomántán splanc SPI;
- rinne sé iarracht sonraí a dhumpáil ó thiomáint flash PSoC;
- deimhnithe go bhfuil eochairbhuillí sa chumarsáid idir Cypress PSoC agus JMS539;
- Rinne mé cinnte agus an focal faire á athrú agam, nach bhfuil aon rud forscríofa sa tiomántán flash SPI;
- Bhí sé ró-leisciúil an firmware 8051 a aisiompú ó JMS539.
3.1. Dumpáil sonraí a thógáil ó thiomáint flash SPI
Tá an nós imeachta seo an-simplí:
- ceangail tóireadóirí le cosa an tiomáint flash: CLK, MOSI, MISO agus (roghnach) EN;
- cumarsáid “sniff” le sniffer ag baint úsáide as anailísí loighic (d’úsáid mé );
- prótacal SPI a dhíchódú agus torthaí a onnmhairiú go CSV;
- leas a bhaint as chun na torthaí a pharsáil agus dumpáil a fháil.
Tabhair faoi deara le do thoil go n-oibríonn an cur chuige seo go háirithe go maith i gcás an rialaitheora JMS539, ós rud é go lódálann an rialtóir seo an firmware go léir ón tiomáint flash ag an gcéim tosaigh.
$ decode_spi.rb boot_spi1.csv dump
0.039776 : WRITE DISABLE
0.039777 : JEDEC READ ID
0.039784 : ID 0x7f 0x9d 0x21
---------------------
0.039788 : READ @ 0x0
0x12,0x42,0x00,0xd3,0x22,0x00,
[...]
$ ls --size --block-size=1 dump
49152 dump
$ sha1sum dump
3d9db0dde7b4aadd2b7705a46b5d04e1a1f3b125 dumpTar éis dom dumpáil a bhaint as an tiomáint flash SPI, tháinig mé ar an tátal gurb é an t-aon tasc atá aige ná an firmware a stóráil don fheiste rialaithe JMicron, atá ionsuite sa mhicririaltóir 8051. Ar an drochuair, níorbh fhiú úsáid a bhaint as dumpáil den tiomáint flash SPI:
- nuair a athraítear an cód PIN, fanann an dumpáil tiomántán flash mar an gcéanna;
- Tar éis na céime tosaigh, níl rochtain ag an bhfeiste ar an tiomáint flash SPI.
3.2. Sniffing cumarsáide
Is bealach amháin é seo le fáil amach cén tslis atá freagrach as cumarsáid a sheiceáil maidir leis an am/ábhar is díol spéise. Mar is eol dúinn cheana féin, tá an rialtóir USB-SATA ceangailte leis an Cypress PSoC LCD trí chónascaire CN1 agus dhá ribín. Dá bhrí sin, nascann muid na tóireadóirí leis na trí cosa comhfhreagracha:
- P4, ionchur/aschur ginearálta;
- P11, I2C SCL;
- P13, I2C SDA.
Ansin seolann muid an anailíseoir loighic Saleae agus cuirimid isteach ar an méarchlár: “123456~”. Mar thoradh air sin, feicimid an léaráid seo a leanas.
Feicimid trí bhealach malartaithe sonraí air:
- tá roinnt pléasctha gearra ar chainéal P4;
- ar P11 agus P13 - malartú sonraí beagnach leanúnach.
Ag súmáil isteach ar an gcéad spíc ar chainéal P4 (dronuilleog ghorm san fhigiúr roimhe seo), feicimid na rudaí seo a leanas:
Anseo, is féidir leat a fheiceáil go bhfuil beagnach 4ms de chomhartha monotonous ar P70, rud a bhí cosúil liomsa ar dtús ag imirt ról comhartha clog. Mar sin féin, tar éis roinnt ama a chaitheamh ag seiceáil mo bhuille faoi thuairim, fuair mé amach nach comhartha clog é seo, ach sruth fuaime a aschur chuig an tweeter nuair a bhíonn na heochracha brúite. Mar sin, níl faisnéis úsáideach dúinn sa chuid seo den chomhartha féin. Mar sin féin, is féidir é a úsáid mar tháscaire chun fios a bheith agat cathain a chláraíonn an PSoC príomhbhrú.
Mar sin féin, tá an sruth fuaime P4 is déanaí beagán difriúil: is é an fhuaim don "PIN neamhbhailí" é!
Ag filleadh ar an ngraf eochairbhuille, ag zúmáil isteach ar an ghraf sruth fuaime deiridh (féach an dronuilleog gorm arís), faighimid:
Anseo feicimid comharthaí monotonous ar P11. Mar sin is cosúil gurb é seo an comhartha clog. Agus is sonraí é P13. Tabhair faoi deara mar a athraíonn an patrún tar éis don bíp críochnú. Bheadh sé suimiúil a fheiceáil cad a tharlaíonn anseo.
De ghnáth is SPI nó I2C iad na prótacail a oibríonn le dhá shreang, agus deir an tsonraíocht theicniúil ar Cypress go gcomhfhreagraíonn na bioráin seo do I2C, rud a fheicimid atá fíor inár gcás:
Déanann an chipset USB-SATA vótaíocht i gcónaí ar an PSoC chun staid na heochrach a léamh, arb é “0” de réir réamhshocraithe. Ansin, nuair a bhrúnn tú an eochair "1", athraíonn sé go "1". Tá an tarchur deiridh díreach tar éis “~” a bhrú difriúil má chuirtear an cód PIN mícheart isteach. I láthair na huaire, áfach, níl seiceáil déanta agam ar a bhfuil á tharchur ann i ndáiríre. Ach tá amhras orm nach dócha gur eochair criptithe é seo. Ar aon nós, féach an chéad chuid eile chun tuiscint a fháil ar conas a bhain mé an firmware inmheánach PSoC.
Foinse: will.com