Sicherheit in der Autoelektronik - Hallo Welt auf dem Armaturenbrett-Controller

Nach dem Experimentieren mit dem CAN-Bus im Auto gab es den wilden Wunsch, etwas tiefer in das Allerheiligste einzutauchen. Ich denke, jeder kennt einen Begriff wie "Chip-Tuning". Auf Russisch ist dies eine einfache Firmware für Steuergeräte (Motor, Getriebe usw.). Der Gerätehersteller legt zunächst Funktionen für die Aktualisierung oder Änderung der Mikrocontroller-Software in seinen Geräten fest. Der Mechanismus wird jedoch aus offensichtlichen Gründen niemandem offengelegt. Um diesen Vorgang zu verkomplizieren, wird das Programm selbst, mit dem es mit nichtflüchtigem Speicher arbeitet, nicht in der Firmware gespeichert, sondern geladen Controller nur zum Zeitpunkt der Wartung. In diesem Artikel wird erläutert, wie der Dashboard-Mikrocontroller den Code eines anderen Benutzers ausführen kann, während er auf den Autodiagnose-Connector zugreifen kann.

Im Allgemeinen wird der Datenlademechanismus in der ECU (elektronische Steuereinheit) im UDS- Diagnoseprotokoll beschrieben, nämlich die Funktionen:

34 - Download anfordern
36 - Daten übertragen

Im Hinblick auf die Implementierung von UDS sind die Autohersteller jedoch nicht gezwungen, Änderungen / Ergänzungen am Protokoll vorzunehmen und ein proprietäres Add-On zu erstellen. In meinem Fall sieht der Update-Vorgang ungefähr so ​​aus:

1. Anmelden bei einer erweiterten Diagnosesitzung
2. Starten Sie im Bootloader neu
3. Erhalten des Sicherheitszugriffs, um eine Datenladeoperation zu ermöglichen
4. Übertragung der Adresse in den Speicher, in dem die Aufzeichnung und das Datenvolumen aufbewahrt werden
5. Daten werden geladen
6. Tun, was geladen wurde
7. Als nächstes programmieren Sie das EEPROM mit dem Programm, das Sie zuvor heruntergeladen haben.

Die Punkte 1-3 waren nicht schwierig, aber was machen wir als nächstes? Woher bekommen Sie die Adresse und die maximale Datenmenge? Wie nach dem Booten zu tun, was heruntergeladen wurde? Aus diesem Grund wird gerade ein Artikel geschrieben.

Als Testobjekt wurde eine Gerätekombination ausgewählt, da ich erstens eine weitere für den Fall einer Apokalypse habe und zweitens deren Controller mit einem einfachen USB-RS232-Adapter ausgelesen werden kann. Nachdem wir die Innenseiten untersucht haben, haben wir den Fujitsu MB91F223 Controller. Dies ist ein 32-Bit-Mikron mit einem FR60Lite-Kern, 512 KB Speicher und 16 KB RAM. Datenblatt, RM, Assembler-Handbuch, ein Programmierer dafür sind leicht im Internet zu suchen, ich werde hier nicht aufhören. Hier sieht er gut aus:



Aktionsplan:

1. Suchen Sie nach Diagnoseanforderungshandlern
2. Finden Sie Adressen im Speicher, an die Sie etwas schreiben können
3. Finden Sie einen Weg, um aufgezeichneten Code auszuführen

Um Schritt 1 auszuführen, müssen Sie den Interrupt-Handler vom CAN-Bus aus untersuchen und verstehen, wo die Daten zur weiteren Verarbeitung gespeichert sind. Viele Steuerungen haben eine sogenannte Interrupt-Vektortabelle, die die Adressen der Funktionen enthält, die für deren Verarbeitung zuständig sind. In der Fujitsu FR-Familie befindet sich diese Tabelle in ihrer Branche, und der Zeiger darauf wird im TBR-Register (Table Base Register) gespeichert. Eine einfache Textsuche in der IDA liefert bei uns ein positives Ergebnis und die Adresse der Interrupt-Tabelle.



Laut Handbuch befindet sich die CAN-Interrupt-Adresse am Offset 0x370 vom Beginn des TBR. Da ist er.




Aus der Datenbank der Händlerdiagnosesoftware hatte ich die SID- und LID-Kennungen (31E1) des UDS-Protokolls, mit denen die Codeausführung gestartet wurde. Dies vereinfachte die Aufgabe und ermöglichte es mir, von Ende bis Anfang zu handeln. In dem Funktionshandler 31E1 wurde ein Fragment gefunden, in das die zum RAM-Bereich gehörende Adresse geladen wurde, und dann wird ein Aufruf an diese Adresse durchgeführt. Ist es nicht das, wonach wir suchen?



Die Suche nach der Verwendung der Konstanten 0x3F100 führt uns zu einer anderen Stelle in der Firmware, zum UDS 34-Funktionshandler - Download anfordern! Dies ist genau das, was Sie brauchen, die Adresse zum Schreiben von Daten und die maximale Menge (0x700 Bytes) im RAM wird gefunden.



Nach dem Senden eines Befehls zum Anfordern der Erlaubnis zum Herunterladen von Daten 34 03F100 00 00010C (die in Kursivschrift angegebene Adresse ist in Fettschrift angegeben) antwortet das Dashboard nun mit einem guten 740401. Anschließend werden Benutzerdaten mit der Funktion Daten übertragen geladen und ein Befehl ausgegeben zu erfüllen. Wir haben das Laden und Ausführen herausgefunden, aber jetzt müssen Sie herausfinden, was Sie herunterladen können. Ich habe keine Open-Source-Entwicklungsumgebung für diesen Mikrocontroller gefunden, aber nach einem Monat wurde der technische Support von Cypress angeklopft (ja, nicht Fujitsu, sie haben sie entweder absorbiert, ich weiß im Allgemeinen nicht). Sie gaben einen Link zu einer IDE namens Shaggy Softune Workbench 97 Jahre, mit denen der Compiler unter den FR-Kernel kam.

So sieht es aus, kein vscode-Paar.

Im Screenshot ein Fragment des Programms zum Blinken von LEDs (nicht für den Schreibstil in Assembler kicken, dies ist meine erste Erfahrung).



Der gleiche Code, aber schon in si

void delay(int loops) { while(--loops) { #pragma asm NOP NOP #pragma endasm __asm(" nop"); } } #define DDR2 (*((char*)0x402)) #define PDR2 (*((char*)0x2)) #define WPR (*((char*)0x485)) #define LVRC (*((char*)0x57D)) void wdt_reset(void) { WPR = 0xA5; WPR = 0x5A; LVRC = 0x10; } void main(void) { int current_pin = 2; DDR2 |= 0x7E; while(1) { wdt_reset(); PDR2 |= current_pin; delay(0x7FFF); PDR2 &= ~current_pin; delay(0x7FFF); current_pin <<= 1; if(current_pin >= 0x80) { current_pin = 2; } } } 

Nun, das Ergebnis selbst


Bei anderen Knoten sieht alles ziemlich gleich aus, mit Ausnahme der Controller-Architektur und der Reihenfolge, in der die Befehle ausgeführt werden. Ist es sicher, solche Lücken in der Fahrzeugausrüstung zu belassen? Anscheinend ja, da der Hersteller dies tut. Warum mache ich das? Es war einfach interessant, der Monteur war lange Zeit für mich von Interesse, ich habe es sozusagen getroffen.

Betreff - Mitsubishi 8100B197 Instrumententafel, Die Kommunikation auf dem CAN-Bus erfolgte über den Tactrix OpenPort 2.0-Adapter, eine Software auf einem Computer seines eigenen Designs.