Инженерное меню hyundai tucson 2020

Взлом ШГУ Hyundai Tucson

Ранее вы узнали, как можно взломать официальную прошивку Hyundai Tucson 2020 и провести её реинжиниринг. Тогда мне казалось, что можно просто модифицировать файл с обновлениями, снова заархивировать его с тем же паролем и запихнуть в машину. Оказалось, что всё не так просто.

Пакет обновлений подписывается ключом RSA, соответствующим сертификату daudio.x509.pem , и эта подпись проверяется во время обновления. Это часть процесса обновления Android OTA, который используется для обновления прошивки всего устройства (не только автомобильной навигации). В отличие от RSA ключа для Ioniq 2021, этот ключ нельзя найти в сети (по крайней мере, я его не нашёл).

Как в таком случае получить доступ к ШГУ (штатному головному устройству)? Я рассматривал два варианта:

  • найти уязвимость в одном из приложений;
  • найти уязвимость в ядре Linux. ШГУ работает под управлением Linux 3.1.10, так что это реальный вектор атаки.

Увы, ничего не получилось. Но я нашёл новую информацию, которая позволила мне рутировать ШГУ.

Новые идеи

Я узнал, что Hyundai поставляет одну и ту же прошивку на разные автомобили. В моей машине была так называемая «Standard-class Gen5 navigation», которая выглядит так:

Хотя в названии фигурирует слово «навигация», по факту это прошивка для всего головного устройства. Одна и та же прошивка поставляется на разные модели Hyundai, KIA и Genesis, выпущенные в период с 2018 по 2021 год.

Головное устройство работает на SoC Telechips TCC893X, а его SDK просочился в интернет. Существует секретный механизм запуска рекавери. Для этого нужно зажать кнопку POWER (это ручка слева) и кнопку MAP при запуске:

Я попробовал это на своём автомобиле, и на экране появилась вот такая ошибка:

Очевидно, что для запуска рекавери необходимы какие-то зашифрованные файлы на USB-носителе. Простой grep этих строк приводит к lk.rom файлу из пакета обновлений, который я до сих пор игнорировал. Давайте загрузим его в Ghidra и посмотрим, что произойдёт.

Читайте также:  Расход топлива всех кроссоверов

Реверс lk.rom

LK означает «little kernel», небольшое ядро ​​с открытым исходным кодом, которое используется во многих встраиваемых платформах. ШГУ загружает lk.rom с адреса 0x82000000. Установив правильный начальный адрес в Ghidra, мы можем задействовать printf и получить много полезной отладочной информации. Проверка » [DEBUG] U-Boot Recovery Button pushed . \n » приводит к:

Похоже, что рекавери является частью u-boot, а его точкой входа является функция 0x820589a8 :

Обратите внимание на строку 14. Из неё мы можем сделать вывод, что эта функция копирует код u-boot 0x80000000 и запускает его. PTR_DAT_82058a38 начало u-boot, а PTR_DAT_82058a3c — адрес конца прошивки:

Используя эту информацию, мы можем извлечь код u-boot lk.rom с помощью следующей команды:

$ dd if=lk.rom skip=$((0x1055c)) count=$((0x57894-0x1055c)) bs=1 of=uboot.rom

А затем проанализируем uboot.rom как отдельный бинарник с начальным адресом 0x80000000 в Ghidra.

Реверс uboot.rom (часть lk.rom)

Океюшки, мы видим много отладочных строк, которые помогают понять, что происходит. Рекавери ищет следующие файлы на USB-носителе:

  • security_force/encrypt_lk.rom
  • security_force/encrypt_boot.img
  • security_force/encrypt_system.img
  • security_force/encrypt_recovery.img
  • security_force/encrypt_splash.img
  • security_force/encrypt_partition.dat

Существует также security_force/file_info , который содержит имя, размер и контрольную сумму CRC32 для каждого из перечисленных выше файлов. Эти файлы (за исключением encrypt_partition.data ) соответствуют файлам, которые мы нашли в пакете обновления:

Они должны быть зашифрованы по алгоритму AES-128-CBC, ключами =”)1Zorxo^fAhGlh$#” и IV full-width «>

Флаг mDispAdb можно переключить, если нажать 5 раз в правом нижнем углу 3-й страницы “Информация о модуле” (Module Info). Но если присутствует ADB_HIDE_FEATURE , этот флаг игнорируется, и видимость всегда устанавливается равной 8, что означает GONE. Функция ADB_HIDE установлена по умолчанию, как видно из system.ext4:

$ cat /tmp/car/etc/permissions/com.hkmc.software.engineermode.adb_hide.xml  

Что ж, давайте удалим эту фичу, создадим файл рекавери и запихнём в машину.

Да, это сработало! С помощью этого простого изменения мы успешно включили ADB на Kia Stinger 2020 и подключились к нему через USB.

Получение root shell

Теперь, когда у нас есть оболочка ADB, как получить root? Оказывается, в стоковой прошивке есть удобный setuid-бинарник под названием «amossu»:

$ ls -la bin/amossu -rwsr-sr-x 1 root root 37216 Oct 6 08:29 bin/amossu
setgid(0); setuid(0); execv("/system/bin/sh",__argv);

Инструменты

Я выложил здесь программу и инструкции по созданию кастомных прошивок для автомобилей с прошивкой Gen5. На данный момент весь процесс успешно протестирован на Kia Stinger 2020 года выпуска.

Читайте также:  Замена линз на nissan murano z51

Последние мысли

Я надеюсь, что этот хак позволит создать несколько интересных модов для автомобилей. Например, мне хотелось бы увидеть приложение, которое записывает видеопоток с камеры автомобиля и сохраняет его на флешке. Разумеется, моей конечной целью остаётся запуск Doom на экране ШГУ. Так что я не прощаюсь :).

Если у вас есть комментарии или отзывы, вы можете оставить их на Github.

Что ещё интересного есть в блоге Cloud4Y

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем только по делу. А ещё напоминаем про второй сезон нашего сериала ITить-колотить. Его можно посмотреть на YouTube и ВКонтакте.

Источник

Engineering Mode на шгу Gen5W Sonata 2020

016DD259-7952-4284-8246-C246BEC1B9A5.jpeg

У меня тоже получилось не с первого раза. Сложно было понять по каким зонам углов надо щелкать. Пароль нагуглил. В Вашем случае, скорее всего, пароль будет текущее время.
Поковырявшись в настройка выяснил, что эта голова оснащена GPS, умеет LTE/3G модемы и WiFi модули. Лично меня текущая прошивка совершенно не устраивает. Нужно подключать телефон, чтобы пользоваться навигацией. В меню есть пункт о принудительной прошивке с флешки. Как и что туда заливать пока загадка.
Еще мне крайне важно найти пункт отвечающий за активное шумоподавление в машине. Он точно есть и он точно отключен, так как в более жирных комплектациях функция включена.
Вот еще много полезной информации —

CRASH

Member

У меня тоже получилось не с первого раза. Сложно было понять по каким зонам углов надо щелкать. Пароль нагуглил. В Вашем случае, скорее всего, пароль будет текущее время.
Поковырявшись в настройка выяснил, что эта голова оснащена GPS, умеет LTE/3G модемы и WiFi модули. Лично меня текущая прошивка совершенно не устраивает. Нужно подключать телефон, чтобы пользоваться навигацией. В меню есть пункт о принудительной прошивке с флешки. Как и что туда заливать пока загадка.
Еще мне крайне важно найти пункт отвечающий за активное шумоподавление в машине. Он точно есть и он точно отключен, так как в более жирных комплектациях функция включена.
Вот еще много полезной информации —

Читайте также:  Мотор gdi kia sportage

Источник

Тема: Инженерное меню

csvic вне форума

ЦитатаСообщение от 4ux Посмотреть сообщение

  • Навигация
  • Кабинет
  • Личные сообщения
  • Подписки
  • Кто на сайте
  • Поиск по форуму
  • Главная страница форума
  • Форум
  • Общие вопросы и обсуждения
    1. Последние новости
    2. Выбор и покупка
    3. Официальные дилеры Hyundai
    4. Отзывы владельцев
  • Технические вопросы
    1. Эксплуатация и оборудование (Tucson 2015–2018 г.в., дорестайл)
      1. Кузов, остекление и зеркала
      2. Интерьер и багажник
      3. Двигатель и топливная система
      4. Трансмиссия автомобиля
      5. Подвеска, тормоза и рулевое управление
      6. Электрооборудование и световые приборы
      7. Отопление, вентиляция, охлаждение и климат-контроль
      8. Мультимедийная система и акустика
      9. Системы безопасности и ассистенты
      10. Противоугонные комплексы и охранные системы
      11. Колёсные диски и шины
    2. Эксплуатация и оборудование (Tucson 2018 рестайлинг — н.в.)
      1. Кузов, остекление и зеркала (2018 FL — н.в.)
      2. Интерьер и багажник (2018 FL — н.в.)
      3. Двигатель и топливная система (2018 FL — н.в.)
      4. Трансмиссия автомобиля (2018 FL — н.в.)
      5. Подвеска, тормоза и рулевое (2018 FL — н.в.)
      6. Электрооборудование и свет (2018 FL — н.в.)
      7. Вентиляция и отопление (2018 FL — н.в.)
      8. Мультимедийная система и акустика (2018 FL — н.в.)
      9. Системы безопасности и вспомогательные ассистенты (2018 FL — н.в.)
      10. Противоугонные и охранные системы (2018 FL — н.в.)
      11. Диски и шины (2018 FL — н.в.)
    3. Сервис, ремонт, запчасти и ТО
    4. Доп.оборудование, комплектующие, аксессуары и тюнинг
    5. Делимся опытом: инструкции и фотоотчеты
  • Другие разделы
    1. Страхование, кредиты и юридические вопросы
    2. Регионы — объединяемся!
      1. Центральный федеральный округ
      2. Северо-Западный федеральный округ
      3. Приволжский федеральный округ
      4. Уральский федеральный округ
      5. Сибирский федеральный округ
      6. Дальневосточный федеральный округ
      7. Южный федеральный округ
      8. Северо-Кавказский федеральный округ
      9. Соседи и друзья
        1. Украина
    3. Частные объявления
    4. Партнёры и скидки участникам
    5. Путешествия
    6. Свободное общение
    7. Сайт и форум

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения

© 2015-2021 «Новый Hyundai Tucson клуб Россия»
Всё о новом поколении Хендай Туссан (Хундай Туксон, Хёндэ Тусон) 2015-2020:
фото, видео, отзывы владельцев, описание и форум

Работает на vBulletin® Copyright © 2023 vBulletin Solutions, Inc. All rights reserved. Перевод: zCarot

Источник

Оцените статью
Adblock
detector