Odklepanje Xiaomi M365/ M365 PRO / Essential / MI PRO2 / MI 1S / MI3 / MI3 Lite

Programska optimizacija - Povečanje moči in hitrosti električnih skirojev XIAOMI in NINEBOT

  • 0
    • TRGOVINA

    Električni skiroji Xiami – kompleten vodič z uporabnimi informacijami

    Namen tega prispevka na blogu je raziskati linijo električnih skirojev Xiaomi in njeno medmrežje z različnimi proizvajalci.

    Xiaomi je nedavno v svojo ponudbo dodal več novih modelov električnih skirojev: Xiaomi Električni skiro 3 Lite, Xiaomi  Električni skiro 4, Xiaomi Električni skiro 4 Pro, ….

    Želimo odgovoriti na vprašanje, ali je mogoče katerega od novih modelov hekersko vdreti ali ne.

    Zgodovina: Xiaomi, Mi, Mijia?

    Xiaomi je decembra 2016 izdal svoj prvi skiro “Xiaomi Mi Električni skiro”, znan tudi kot “Xiaomi Mijia M365”. “Mi” in “Mijia” sta dve blagovni znamki, ki ju Xiaomi uporablja za naprave za pametni dom. Blagovna znamka “Mijia” je pomembnejša v azijskih regijah, medtem ko se blagovna znamka “Mi” uporablja po vsem svetu.

    Oznaka “Mi” je bila umaknjena iz imen najnovejših modelov skuterjev. Vendar je blagovna znamka “Mijia” še vedno prisotna v azijskih regijah.

    Kdo proizvaja električne skiroje Xiaomi?

    Xiaomi je predvsem podjetje za oblikovanje in trženje, kar pomeni, da vseh svojih izdelkov ne proizvaja v lastni proizvodnji. Namesto tega sodeluje z mrežo dobaviteljev in pogodbenih proizvajalcev, ki izdelujejo njegove izdelke.

    Xiaomi na primer sodeluje s Foxconnom, velikim pogodbenim proizvajalcem, ki izdeluje nekatere njegove pametne telefone. Sodeluje tudi z drugimi proizvajalci za različne kategorije izdelkov, kot sta Huami za nosljive izdelke in Viomi za gospodinjske aparate.

    Ni presenetljivo, da Xiaomi dejansko ne proizvaja električnih skirojev. Proizvajalci so navedeni na naslednjem seznamu, skupaj s podrobnimi informacijami o vsakem izdanem modelu sskiroja in njihovem notranjem poimenovanju naprave (aplikacija Xiaomi Mi Home App):

    Ninebot (Changzhou) Tech Co., Ltd. [ustanovljena leta 2012, leta 2015 je prevzela družbo Segway Inc. s sedežem v Združenem kraljestvu].

    • M365 [ninebot.električni skiro.v1]
    • M365 Pro [ninebot.električni skiro.v2]
    • Mi 1S [ninebot.električni skiro.v3]
    • Mi Pro 2 [ninebot.električni skiro.v4]
    • Mi Lite (Essential) [ninebot.električni skiro.v5]
    • Mijia 1S (Kitajska) [ninebot.električni skiro.v6]
    • Mi 3 [ninebot.električni skiro.v7]
    • 4 Pro (stara različica) [ninebot.električni skiro.v8]
    • Mi 3 (nova različica) [ninebot.električni skiro.v10]
    • 4 Go [ninebot.električni skiro.v13]
    • 4 Pro [ninebot.električni skiro.15/v15]
    • 5 Pro (Kitajska) [ninebot.električni skiro.v16]

    Brightway Innovation Intelligent Technology (Suzhou) Co., Ltd. [ustanovljeno leta 2020]

    • Xiaomi električni skiro 3 Lite [dreame.električni skiro.epro]
    • Xiaomi električni skiro 4 [dreame.električni skiro.t2201]
    • Xiaomi ektrični skiro 4 Ultra [dreame.električni skiro.p2301]
    • Xiaomi ektrični skiro 4 Lite [navee1.električni skiro.t2210]

    Skiroji Brightway?

    Do nedavnega je vse skiroje “Xiaomi” izdeloval Ninebot. To se je spremenilo, ko se je leta 2020 pojavila družba Brightway.

    Brightway je najprej izdal skiroza kitajski trg z imenom Mijia Electric Električni skiro 3 Youth Edition. Ta sskiro je zdaj na voljo po vsem svetu pod imenom “Xiaomi Električni skiro 3 Lite”. Zabavno dejstvo: Izvirno ime nakazuje njegovo ciljno skupino (mladi), kar pojasnjuje, zakaj ima skiro najšibkejše specifikacije med vsemi skiroji v portfelju Xiaomi.

    Poleg tega ima Brightway svojo lastno blagovno znamko skuterjev: NAVEE TECH. Čeprav Brightway blagovne znamke NAVEE ne uporablja za vse modele Xiaomi, so povsod pustili sledi z oznakami “Navee”, na primer v dokumentih FCC za Xiaomi 3 Lite.

    Brightway proti Dreame

    V aplikaciji Xiaomi Mi Home se vsa imena modelov skirojev Brightway začnejo z “dreame.električni skiro”. To je nenavadno, saj “Dreame” večinoma proizvaja robote za sesanje… Vprašanje torej je: kako je Brightway povezan z Dreame?

    Moja raziskava je pokazala, da sta blagovni znamki Brightway in Dreame v lasti kitajskega podjetja Shenzhen Liwei Electronics Co., Ltd. (znano tudi kot Liwei Century ali Liwei Chuangzhi).

    Liwei Electronics je vodilni proizvajalec gospodinjskih aparatov, vključno s sesalniki, čistilci zraka in drugimi čistilnimi izdelki. Dreame je Liweijeva vrhunska blagovna znamka sesalnikov in drugih izdelkov za čiščenje, Brightway pa je… no… blagovna znamka skuterjev.

    V zvezi z aplikacijo Mi Home domnevam, da je družba Liwei Electronics želela svoje izdelke Dreame in Brightway vključiti v ekosistem Xiaomi Mi in je to najlažje dosegla z uporabo že obstoječega imenskega prostora/računa “dreame”.

    Možnost hekanja (manipuliranja hitrosti)

    Električni skiroji Ninebot že dolgo slovijo kot prijazni do hekerjev. Vendar se je to lani spremenilo z uvedbo novih varnostnih funkcij (kriptografski podpisi), ki so bile posebej namenjene preprečevanju posegov v strojno programsko opremo naprave. Zdaj je Ninebot z modelom “4 Pro” zabil žebelj v krsto manipulacij z vdelano programsko opremo: Dodali so varen čip, imenovan “MJA1”, za (morebitno) shranjevanje šifrirnih ključev in kriptografskih funkcij. Zaščitni čipi so običajno opremljeni s plastjo fizične zaščite, ki na primer povzroči, da se čip ob fizičnem posegu izbriše. (Opomba: Xiaomi uporablja čip “MJA1” tudi v drugih napravah, kot sta robotski sesalnik “Vacuum-Mop 2” in varnostna kamera “Smart Camera 2 PTZ”).
    Lahko rečemo, da bo, začenši z modelom “4 Pro”, vse prihajajoče skiroje Ninebot težko vdreti.

    Vendar se zdi, da javne informacije o skirojih Brightway (vključno s skiroji “3 skiroja NAVEE S65 prikazujejo armaturno ploščo, opremljeno z Realtek MCU (AMB1) in izpostavljenimi nožicami za serijske žice (CLK/DIO/G), kar pomeni: potencial za nadaljnje raziskovanje in možnost manipulacije s programsko opremo.

    Na podlagi notranjih dokumentov FCC (slika PDF) lahko ugotovimo, da sta si strojna oprema modelov Xiaomi/Brightway 3 Lite in Xiaomi/Brightway 4 (ne-Pro ta je od Ninebota) podobna. MCU ima enako število nožic in razberemo lahko izpostavljene ploščice SWD. Na splošno je zasnova plošče, vključno s pokrovčki in priključki, videti znana. Obstaja verjetnost, da je model 4 Ultra opremljen tudi s strojno opremo, opisano v tem prispevku, tega še nisem imel možnosti raziskati.

    Xiaomi/Ninebot 4 Pro, tako kot vsi drugi novi modeli električnih skirojev Xiaomi, uporablja enak modul BLE kot model 3 Lite, kar razkriva certifikat Bluetooth. To pomeni, da model 4 Pro uporablja isti sklad BLE in osnovne knjižnice Xiaomi za preverjanje pristnosti. Kar zadeva krmilnik, 4 Pro uporablja ploščo na osnovi STM32 v skladu s tradicijo prejšnjih skirojev Ninebot; MCU STM32 je dobro uveljavljen v skupnosti “hekerjev”električnih skirojev.

    Xiaomi/Brightway 3 Lite: MCU z 48 nožicami pod modrim pokrovčkom

    Xiaomi/Brightway 4: [Vir] prikazuje MCU, prav tako z 48 nožicami, modro kapico in ploščicami SWD

    Skratka, nove modele Xiaomi je mogoče prelisičiti na naslednji način:

    Za 3 Lite + 4 + 4 Ultra bi bilo lako enostavno spremeniti obstoječo vdelano programsko opremo MCU in jo flashniti prek SWD. Težavni način bi bil razvoj in obdelava lastne strojne programske opreme BLE za modul BLE (Realtek), ki zaobide varni čip, s postopkom obdelave OTA po meri MCU. Tega še nihče ni naredil in se ne da dobiti na spletu.

    Za skiro 4 Pro trenutno ni enostavnega načina. Možen način bi bil razviti in s tem prelisičiti vdelano programsko opremo ESC po meri za ploščo STM32. Ta vdelana programska oprema bi lahko temeljila na primer na odprtokodni vdelani programski opremi SmartESC. Težaven način bi lahko vključeval vdelano programsko opremo BLE po meri, tako kot za druge modele (isti modul BLE), samo tudi se vsaj po mojih podatkih nihče od programerjev tega ni lotil.

    Zaključek

    V tej raziskavi sem si podrobno ogledal strojno in programsko opremo (kar sem seveda imel na voljo), ter varnost, ki jo izvaja Brightway, novi proizvajalec električnih skirojev Xiaomi, s preučevanjem njihovega modela xiami 3 Lite. V celoti sem lahko odstranil vsebino BLE in MCU flasha, si ogledal postopek OTA ter protokol ukazov in komunikacije, ki se uporablja v modelu 3 Lite.

    Moj zaključek je, da so skiroji Brightway na primeru modela 3 Lite kar dobro zaščiteni proti manipulaciji programske opreme zaradi uporabe avtentikacije BLE z uporabo varnega čipa, vendar pa omogočajo zamenjavo programske opreme, saj imajo na voljo standardne “hekerske” priklope za komunikacijo kar omogoča flešanje z ST-Linkom.

    Ugotovil sem torej, da je oba čipa mogoče (ponovno) programirati prek ustreznih (omogočenih) vrat SWD: Uspelo mi je vklopiti modificiran 3 Lite BLE v identičen modul Xiaomi BLE, kar nakazuje, da je na dejanski napravi mogoče uporabiti lastno programsko opremo BLE. Prav tako sem lahko prvotno vdelano programsko opremo MCU 3 Lite flashnil (in ponovno flashnil) na identičen MCU LKS32, kar kaže, da je možna vdelana programska oprema po meri MCU.

    Glede varnostnih pomanjkljivosti, kot sta manjkajoče šifriranje in zaščita pred branjem datotek vdelane programske opreme, domnevam, da se jih proizvajalec dobro zaveda, zakaj pa jih je pustil odprte pa je vprašanje za miljon evrov 🙂

    Električni skiroji Xiami – kompleten vodič z uporabnimi informacijami

    Dodaj odgovor

    Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

    Pomakni se na vrh