Инженерное меню hyundai tucson 2020

Взлом ШГУ Hyundai Tucson

Ранее вы узнали, как можно взломать официальную прошивку Hyundai Tucson 2020 и провести её реинжиниринг. Тогда мне казалось, что можно просто модифицировать файл с обновлениями, снова заархивировать его с тем же паролем и запихнуть в машину. Оказалось, что всё не так просто.

Пакет обновлений подписывается ключом RSA, соответствующим сертификату daudio.x509.pem , и эта подпись проверяется во время обновления. Это часть процесса обновления Android OTA, который используется для обновления прошивки всего устройства (не только автомобильной навигации). В отличие от RSA ключа для Ioniq 2021, этот ключ нельзя найти в сети (по крайней мере, я его не нашёл).

Как в таком случае получить доступ к ШГУ (штатному головному устройству)? Я рассматривал два варианта:

• найти уязвимость в одном из приложений;
• найти уязвимость в ядре Linux. ШГУ работает под управлением Linux 3.1.10, так что это реальный вектор атаки.

Увы, ничего не получилось. Но я нашёл новую информацию, которая позволила мне рутировать ШГУ.

Новые идеи

Я узнал, что Hyundai поставляет одну и ту же прошивку на разные автомобили. В моей машине была так называемая «Standard-class Gen5 navigation», которая выглядит так:

Хотя в названии фигурирует слово «навигация», по факту это прошивка для всего головного устройства. Одна и та же прошивка поставляется на разные модели Hyundai, KIA и Genesis, выпущенные в период с 2018 по 2021 год.

Головное устройство работает на SoC Telechips TCC893X, а его SDK просочился в интернет. Существует секретный механизм запуска рекавери. Для этого нужно зажать кнопку POWER (это ручка слева) и кнопку MAP при запуске:

Я попробовал это на своём автомобиле, и на экране появилась вот такая ошибка:

Очевидно, что для запуска рекавери необходимы какие-то зашифрованные файлы на USB-носителе. Простой grep этих строк приводит к lk.rom файлу из пакета обновлений, который я до сих пор игнорировал. Давайте загрузим его в Ghidra и посмотрим, что произойдёт.

Реверс lk.rom

LK означает «little kernel», небольшое ядро ​​с открытым исходным кодом, которое используется во многих встраиваемых платформах. ШГУ загружает lk.rom с адреса 0x82000000. Установив правильный начальный адрес в Ghidra, мы можем задействовать printf и получить много полезной отладочной информации. Проверка » [DEBUG] U-Boot Recovery Button pushed . \n » приводит к:

Похоже, что рекавери является частью u-boot, а его точкой входа является функция 0x820589a8 :

Обратите внимание на строку 14. Из неё мы можем сделать вывод, что эта функция копирует код u-boot 0x80000000 и запускает его. PTR_DAT_82058a38 начало u-boot, а PTR_DAT_82058a3c — адрес конца прошивки:

Используя эту информацию, мы можем извлечь код u-boot lk.rom с помощью следующей команды:

$ dd if=lk.rom skip=$((0x1055c)) count=$((0x57894-0x1055c)) bs=1 of=uboot.rom

А затем проанализируем uboot.rom как отдельный бинарник с начальным адресом 0x80000000 в Ghidra.

Реверс uboot.rom (часть lk.rom)

Океюшки, мы видим много отладочных строк, которые помогают понять, что происходит. Рекавери ищет следующие файлы на USB-носителе:

• security_force/encrypt_lk.rom
• security_force/encrypt_boot.img
• security_force/encrypt_system.img
• security_force/encrypt_recovery.img
• security_force/encrypt_splash.img
• security_force/encrypt_partition.dat

Существует также security_force/file_info , который содержит имя, размер и контрольную сумму CRC32 для каждого из перечисленных выше файлов. Эти файлы (за исключением encrypt_partition.data ) соответствуют файлам, которые мы нашли в пакете обновления:

Они должны быть зашифрованы по алгоритму AES-128-CBC, ключами =”)1Zorxo^fAhGlh$#” и IV full-width «>

Флаг mDispAdb можно переключить, если нажать 5 раз в правом нижнем углу 3-й страницы “Информация о модуле” (Module Info). Но если присутствует ADB_HIDE_FEATURE , этот флаг игнорируется, и видимость всегда устанавливается равной 8, что означает GONE. Функция ADB_HIDE установлена по умолчанию, как видно из system.ext4:

$ cat /tmp/car/etc/permissions/com.hkmc.software.engineermode.adb_hide.xml  

Что ж, давайте удалим эту фичу, создадим файл рекавери и запихнём в машину.

Да, это сработало! С помощью этого простого изменения мы успешно включили ADB на Kia Stinger 2020 и подключились к нему через USB.

Получение root shell

Теперь, когда у нас есть оболочка ADB, как получить root? Оказывается, в стоковой прошивке есть удобный setuid-бинарник под названием «amossu»:

$ ls -la bin/amossu -rwsr-sr-x 1 root root 37216 Oct 6 08:29 bin/amossu

setgid(0); setuid(0); execv("/system/bin/sh",__argv);

Инструменты

Я выложил здесь программу и инструкции по созданию кастомных прошивок для автомобилей с прошивкой Gen5. На данный момент весь процесс успешно протестирован на Kia Stinger 2020 года выпуска.

Последние мысли

Я надеюсь, что этот хак позволит создать несколько интересных модов для автомобилей. Например, мне хотелось бы увидеть приложение, которое записывает видеопоток с камеры автомобиля и сохраняет его на флешке. Разумеется, моей конечной целью остаётся запуск Doom на экране ШГУ. Так что я не прощаюсь :).

Если у вас есть комментарии или отзывы, вы можете оставить их на Github.

Что ещё интересного есть в блоге Cloud4Y

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем только по делу. А ещё напоминаем про второй сезон нашего сериала ITить-колотить. Его можно посмотреть на YouTube и ВКонтакте.

Источник

Engineering Mode на шгу Gen5W Sonata 2020

У меня тоже получилось не с первого раза. Сложно было понять по каким зонам углов надо щелкать. Пароль нагуглил. В Вашем случае, скорее всего, пароль будет текущее время.
Поковырявшись в настройка выяснил, что эта голова оснащена GPS, умеет LTE/3G модемы и WiFi модули. Лично меня текущая прошивка совершенно не устраивает. Нужно подключать телефон, чтобы пользоваться навигацией. В меню есть пункт о принудительной прошивке с флешки. Как и что туда заливать пока загадка.
Еще мне крайне важно найти пункт отвечающий за активное шумоподавление в машине. Он точно есть и он точно отключен, так как в более жирных комплектациях функция включена.
Вот еще много полезной информации —

CRASH

Member

У меня тоже получилось не с первого раза. Сложно было понять по каким зонам углов надо щелкать. Пароль нагуглил. В Вашем случае, скорее всего, пароль будет текущее время.
Поковырявшись в настройка выяснил, что эта голова оснащена GPS, умеет LTE/3G модемы и WiFi модули. Лично меня текущая прошивка совершенно не устраивает. Нужно подключать телефон, чтобы пользоваться навигацией. В меню есть пункт о принудительной прошивке с флешки. Как и что туда заливать пока загадка.
Еще мне крайне важно найти пункт отвечающий за активное шумоподавление в машине. Он точно есть и он точно отключен, так как в более жирных комплектациях функция включена.
Вот еще много полезной информации —

Источник

Тема: Инженерное меню

Сообщение от 4ux

• Навигация
• Кабинет
• Личные сообщения
• Подписки
• Кто на сайте
• Поиск по форуму
• Главная страница форума
• Форум
• Общие вопросы и обсуждения
  1. Последние новости
  2. Выбор и покупка
  3. Официальные дилеры Hyundai
  4. Отзывы владельцев
• Технические вопросы
  1. Эксплуатация и оборудование (Tucson 2015–2018 г.в., дорестайл)
     1. Кузов, остекление и зеркала
     2. Интерьер и багажник
     3. Двигатель и топливная система
     4. Трансмиссия автомобиля
     5. Подвеска, тормоза и рулевое управление
     6. Электрооборудование и световые приборы
     7. Отопление, вентиляция, охлаждение и климат-контроль
     8. Мультимедийная система и акустика
     9. Системы безопасности и ассистенты
     10. Противоугонные комплексы и охранные системы
     11. Колёсные диски и шины
  2. Эксплуатация и оборудование (Tucson 2018 рестайлинг — н.в.)
     1. Кузов, остекление и зеркала (2018 FL — н.в.)
     2. Интерьер и багажник (2018 FL — н.в.)
     3. Двигатель и топливная система (2018 FL — н.в.)
     4. Трансмиссия автомобиля (2018 FL — н.в.)
     5. Подвеска, тормоза и рулевое (2018 FL — н.в.)
     6. Электрооборудование и свет (2018 FL — н.в.)
     7. Вентиляция и отопление (2018 FL — н.в.)
     8. Мультимедийная система и акустика (2018 FL — н.в.)
     9. Системы безопасности и вспомогательные ассистенты (2018 FL — н.в.)
     10. Противоугонные и охранные системы (2018 FL — н.в.)
     11. Диски и шины (2018 FL — н.в.)
  3. Сервис, ремонт, запчасти и ТО
  4. Доп.оборудование, комплектующие, аксессуары и тюнинг
  5. Делимся опытом: инструкции и фотоотчеты
• Другие разделы
  1. Страхование, кредиты и юридические вопросы
  2. Регионы — объединяемся!
     1. Центральный федеральный округ
     2. Северо-Западный федеральный округ
     3. Приволжский федеральный округ
     4. Уральский федеральный округ
     5. Сибирский федеральный округ
     6. Дальневосточный федеральный округ
     7. Южный федеральный округ
     8. Северо-Кавказский федеральный округ
     9. Соседи и друзья
        1. Украина
  3. Частные объявления
  4. Партнёры и скидки участникам
  5. Путешествия
  6. Свободное общение
  7. Сайт и форум

Ваши права

• Вы не можете создавать новые темы
• Вы не можете отвечать в темах
• Вы не можете прикреплять вложения
• Вы не можете редактировать свои сообщения

© 2015-2021 «Новый Hyundai Tucson клуб Россия»
Всё о новом поколении Хендай Туссан (Хундай Туксон, Хёндэ Тусон) 2015-2020:
фото, видео, отзывы владельцев, описание и форум

Работает на vBulletin® Copyright © 2023 vBulletin Solutions, Inc. All rights reserved. Перевод: zCarot

Источник