16 Sep2016
El firmware experimental del tyt380 y retevis rt3
SHMOOCON 2016: INGENIERÍA INVERSA BARATO CHINO RADIO FIRMWARE
De vez en cuando, una pieza de equipo de radio llama la atención de un gurú de hardware prolífico y está diseñado inversa. Hace algunos años, era la RTL-SDR, y desde entonces, radios definidas por software se convirtió en la próxima gran cosa. Último fin de semana en Shmoocon, [Travis Goodspeed] presentó su ingeniería inversa de la radio digital portátil Tytera MD380. El truco ya ha sido publicado en PoC || GTFO 0x10 (56MB PDF, reflejado) con todos los detalles morbosos que convierten una radio de $ 140 en el primer escáner de hardware para la radio móvil digital.
Tytera
La radio digital Tytera MD-380
El Tytera MD380 es una radio bastante básico con dos chips principales: un STM32F405 con un megabyte de Flash y 192k de memoria RAM, y una banda de base HR C5000. El STM32 tiene tanto JTAG y un cargador de arranque ROM, pero ambos están protegidos por la Protección de dispositivos de lectura (RDP). Moverse por la RDP es la definición misma de una fuga de la cárcel, y gracias a unos ingenieros chinos olvidadizos o perezosas, es ciertamente posible.
El STM32 en la radio implementa una actualización del firmware del dispositivo USB (DFU), probablemente debido a un código de ejemplo de ST. El vertido de la memoria del protocolo DFU estándar simplemente repiten la misma cadena binaria, pero con un poco de persuasión e investigar el único de Windows-aplicación cliente terribles oficial, [Travis] fue capaz de encontrar los comandos DFU no estándar, escribir una DFU personalizada cliente, y leer y escribir el ‘codeplug’, un chip SPI flash que almacena las configuraciones de radio, frecuencias y grupos de conversación.
Más esfuerzos para volcar todo el firmware de la radio fueron un éxito, y con ello comenzó la ingeniería inversa real de la radio. Se ejecuta un puerto de ARM MicroC / OS-II, un sistema operativo embebido en tiempo real. Este sistema operativo está muy bien documentado, con un poco más de esfuerzo nuevas funciones y parches pueden ser escritos.
En Radio Móvil Digital, el audio se envía a través de ya sea un grupo de conversación pública o un contacto privado. La radio se fija generalmente a un solo grupo de conversación, y así que no es realmente posible escuchar en otros grupos de conversación sin cambiar la configuración. Un parche para el modo promiscuo – un modo que pone todos los grupos de conversación a través del altavoz – es sólo la creación de una JNE en el firmware a una NOP.
Los Tytera MD-830 se suministra con una aplicación de Windows terribles utilizados para la programación de la radio
Los Tytera MD-380 se suministra con una aplicación de Windows terribles utilizados para la programación de la radio
Con la ayuda de [DD4CR] y [W7PCH], toda la radio ha sido de ingeniería inversa con el firmware reescrita que trabaja con las herramientas oficiales, los primeros intentos de firmware arañazos construida en torno a FreeRTOS, y los comienzos de una comunidad de desarrollo muy activo para una radio $ 140. [Travis] está en busca de personas que pueden añadir soporte para P25, D-Star, sistema de fusión, un escáner adecuado, o la capacidad de enviar y recibir tramas DMR a través de USB. Todas estas cosas son posibles, haciendo de este uno de los más emocionantes trucos de radio en la memoria reciente.
Antes [Travis] presentado este truco en las conversaciones de fuego Shmoocon, la intuición me guió para buscar esta radio en Amazon. Se fue de $ 140 con el primer y el principal vendedor tenía 18 en stock. Inmediatamente después de la charla – 20 minutos más tarde – el mismo vendedor tenía 14 en stock. [Travis] vendieron cuatro radios a los miembros de la audiencia, y no había mucha gente en la asistencia. Dos horas más tarde, el mismo vendedor tenía cuatro en stock. Si usted está buscando la mejor truco de hardware de la estafa, este es el sitio