Trevlig termisk design, men Conformal Finishing och inga ID-märken gör detta tuffa till omvänd ingenjör
[Willem Melching] äger en 2010 Volkswagen Golf – ett mycket vanligt fordon i Europa – och märkte att medan den elektroniska styrstången stöder det vanliga körfältet Håll Assist (LKAS), och skulle teoretiskt kunna fungera i en mycket mer avancerad konfiguration med hjälp av OpenPilot, det fanns vissa brister i VW: s genomförande vilket innebär att det inte skulle fungera tillräckligt länge för att göra det lönsamt. Att vara mycket intresserad av och tydligt extremt kan på omvänd teknik Automobile ecus och hacka dem till inlämning, [Willem] satte om att dokumentera sin resa för att låsa upp OpenPilot-support för sitt eget fordon.
Och vilken resa var det! Den fyra-deliga bloggserien är vackert skrivet, vilket visar alla gory detalj och alla verktyg som används längs vägen. Den första delen visar den elektroniska servostyrningen (EPS) ECU från en 2010 Volkswagen Golf MK6-modul (som rider på baksidan av trefasstyrningsstället) som är knäckt öppen för att avslöja en intressant multi-chip-modul, med nakna dö Direkt bunden till ett par substrat PCB, som i sin tur är bundna till baksidan av motorhöljet, förmodligen för värmeavledning. Snygg design, men frustrerande samtidigt som detta gör delidentifiering något tricker!
Entropi mindre 1,0, och nollsektionerna indikerar ingen kryptering tillämpad
[Willem] använder en mängd olika verktyg och tricks för att driva upp och sniffa ecu-trafiken på CAN-bussen, när det är anslutet till ett SAE J2534-kompatibelt felsökningsverktyg, så småningom bestämmer det, talar det VW-specifika TP2.0-bussprotokollet, och lyckades ta tag i tillräckligt med trafik för att kontrollera att det var möjligt att använda det konventionella KWP2000-diagnostiska protokollet för att få tillgång till några intressanta data. Nästa var ett mycket djupt dyk i omvända tekniska uppdateringsbilder hittade online, genom att först göra några triviala XOR-operationer, sedan titta på en entropi-plot av filen med Binwalk för att avgöra om han verkligen hade kod, och om det var krypterat eller inte, Efter att ha kört CPU_REC, bestämdes den CPU-enheten var en Renesas V850. Då började det verkliga arbetet – ladda bilden i ghidra för att börja göra några gissningar av koden arkitektur, för att utarbeta vad som behövs patching för att göra de önskade ändringarna. I den sista delen av serien, [Willem] extraherar och använder bootloader-proceduren för att delvis ladda kodkonfigurationsområdet för hans fordon och låser upp målet som han stämde på – fjärrkontrollen av sin styrning. (OK, det verkliga målet körde OpenPilot.)
Enligt vår uppfattning är detta en mycket intressant, om länge, läs visar ett fascinerande ämne som utförts. Men vi vill betona att fordonets EPS-modul är en Asil-D-säkerhetstestad enhet, så alla hackar du gör för ett vägtrafik kommer definitivt att upphäva din försäkring (för att inte tala om din garanti) om det upptäcks i evenemanget av ett krav.
Äldre ecus är lite lättare att hacka, om du kan dra EPROM, och människor där ute, producerar moduler för allsorts av fordonshackning. Så mycket att tinker med!