DrMefistO Sep 27 2023 at 17:14

Исследуем саундбар Yamaha YAS-109

Hard

9 min

29K

BI.ZONE corporate blogCryptography*Reverse engineering*Computer hardware

Tutorial

✏️ Technotext 2023

+219

Comments 50

mobilz Sep 27 2023 at 17:26

норм затравочка )

exTvr Sep 27 2023 at 17:31

Ну вот, как всегда, обрыв на самом интересном месте.
Это не вы, часом, "Лиловый шар" разбивали на части для публикации в "Пионерской правде"? :))

+17

DrMefistO Sep 27 2023 at 18:43

Я помоложе, так что, возможно, кто-то из родни)

tuxi Sep 27 2023 at 17:34

Жду, жду продолжения [поглаживая такую же ямаху] )))

Leshiy26 Sep 27 2023 at 17:37

Читается как остросюжетный детектив. С нетерпением жду второй серии!

pnetmon Sep 27 2023 at 18:21

P.S. А ещё саундбар работает с сетью даже тогда, когда выключен (но воткнут в розетку).

а еще он включается со смартфона и в требованиях к приложению беспроводная локальная сеть

ImagineTables Sep 27 2023 at 18:25

Автор, не томи!!! Сифонит?

DrMefistO Sep 27 2023 at 18:26

Сифонит:)

+26

ImagineTables Sep 27 2023 at 20:46

Подписался, жду продолжения.

FirstEgo Sep 27 2023 at 18:28

Ах ты ж хитрая ж...железка!!!

sbw Sep 27 2023 at 23:43

Ну вот, как же так, я его купить хотел как раз))

DrMefistO Sep 28 2023 at 10:43

Ну, он неплохой сам по себе так то. Просто не подключать его к сети.

FirstEgo Sep 30 2023 at 07:36

ЭЛЕКТРОсети?.. (((

DrMefistO Sep 30 2023 at 10:25

Нет, хотя бы вайфай с ethernet

m-def Oct 2 2023 at 16:21

Посмотрите в сторону Denon DHT-S216 - почти полный аналог, а чем-то даже лучше, с достойным звуком, но без сетевых фишек и сифона наружу

DrMefistO Oct 2 2023 at 16:22

Почитал отзывы - что-то так себе.

VelocidadAbsurda Sep 28 2023 at 02:36

Красота! Трюк с исправлением битов, ориентируясь на CRC, отдельно порадовал. Жду продолжения!

"Шифрование" NAND - не ради сокрытия, а просто чтобы устранить длинные последовательности одинаковых битов (в NAND высокой плотности такие сгустки зарядов могут портить соседние биты), стандартная функция многих NAND-контроллеров. И та странность с другими сидами в каждом n-ном блоке, возможно, учитывает физическую организацию некой конкретной модели NAND. Алгоритмы эти, бывает, всплывают на форумах Acelab и подобных софтов по восстановлению данных.

+15

DrMefistO Sep 28 2023 at 08:42

Не знал, спасибо:)

HenryPootle Sep 28 2023 at 11:24

На каком чудовищно сложном фундаменте стоит вся современная цивилизация! С виду - просто колонка, усиливающая звук телевизора, а автор начал разбираться - и какие бездны вершин открылись.
Костыли, примотанные изолентой к велосипеду с квадратными колёсами, едущему по специально спроектированной под квадратные колёса мостовой. И ведь это всё работает, мы это всё ежедневно носим в кармане, это нас возит в автомобилях и отправляет в полёт на самолётах!

SSLHTML Sep 28 2023 at 08:03

Много очень интересных моментов в статье, особенно для меня. Понравился метод "догадки" поксоренных друг на друга ячеек, да и вообще работа с дампом памяти, снятого с NAND в TSOP48. Сам, практически ежедневно работаю с этим типом памяти. Проберы в использовании дизассемблеров разного толка ограничивают мои возможности, но когда для специалиста @DrMefistO это не проблема, то расследование становится и вправду очень интересным.

Большое спасибо за подобные статьи с исследованиями, разработками и изысканиями. Они помогают тем, кто интересуется и стремиться вырасти в реверсинге. Спасибо также за этот вклад, как лично в мою копилку знаний, так и в ресурс Хабр.

ciuafm Sep 28 2023 at 08:39

Торт!

acsent1 Sep 28 2023 at 08:39

Разве не достаточно было прокси/сниффер какой поставить?

DrMefistO Sep 28 2023 at 09:22

А куда поставить? Простой захват трафика упёрся бы в SSL, а что внутри было бы не ясно.

Alexufo Oct 3 2023 at 15:18

А mitm?

DrMefistO Oct 3 2023 at 15:23

О том, как победил, я расскажу во второй части.

kay_kay Sep 28 2023 at 08:54

Убийца - дворецкий.

Расходимся!

Deito Sep 28 2023 at 10:30

То, что данные улетяют без спроса очевидно, интересно что будет с этим сделано. Будет ли патч на это безобразие.

DrMefistO Sep 28 2023 at 10:30

Написал вендору, а как там будет дальше неизвестно.

UFO just landed and posted this here

DrMefistO Sep 28 2023 at 11:52

Да, этим можно заняться.

IvanPetrof Sep 28 2023 at 14:05

А по тамошним законам это законно? Не засудят?

DrMefistO Sep 28 2023 at 14:10

Ну, текущая статья не содержит ничего такого. Публиковать эксплоиты я не планирую. Разработчик уведомлен, жду реакции. В следующей статье без его ответа я могу лишь опубликовать то, что не может привести к удалённому взлому устройства, а в личных целях никто не запрещает это делать.

8street Oct 26 2023 at 13:45

Разработчик уведомлен

Мне кажется, он в курсе происходящего. И устранять, скорее всего, ничего не будут. Где-то есть доп. соглашение о передаче данных третьим лицам, которое вы приняли купив и включив устройство.

DrMefistO Oct 26 2023 at 13:46

Одно дело передача стримов с микрофона, а другое - вулны

event1 Sep 28 2023 at 15:29

Наверняка к этому моменту у вас мог возникнуть вопрос: а почему вообще приём с ксором блоков мне помог? Дело в том, что в расшифрованном дампе оказалось очень большое количество блоков размером 0x440 байт, заполненных одними лишь нулями, либо FF.

А я вот не понял, честно говоря. Вы же код взяли не из тех блоков которые были заполнены нулями или FF. Как же вам помогли пустые блоки? Или они вам помогли обнаружить периодичность?

И ещё, в порядке товарищеской критики: по тексту немного непоследовательно используется термин "блок". Сам NAND делится на блоки стирания (erase block), которые в свою очередь делятся на страницы (pages). Блоки по 0x440 байта было бы удобнее назвать как-нибудь иначе, чтобы не путать с блоками стирания по 0x22000. Например, "сегменты".

DrMefistO Sep 28 2023 at 15:40

Спасибо за дельную критику! Я, пожалуй, не стану менять уже имеющееся именование. В даташитах нет упоминания деления на блоки "сегменты" по 0x440, как и того, что в каждом из них представлена Spare Area. Думаю, у читателя это не должно вызвать особой путаницы.

Касательно заполнения нулями и FF: да, там практически в самом начале расшифрованного дампа идёт огромный кусок, заполненный 00, а если точнее, то до 0x407F4 (это уже не включая вырезанные 0x40 в каждом "сегменте"). Так что мне, по сути, просто повезло встретить такое большое количество нулей.

event1 Sep 28 2023 at 16:56

В даташитах нет упоминания деления на блоки "сегменты" по 0x440, как и того, что в каждом из них представлена Spare Area

Я думаю, что его и нет. Во всяком случае те чипы, что мне попадались меньше страницы не делились. Скорее всего это фишка NAND-контроллера. Возможно, это самый маленький размер страницы встречающийся среди поддерживаемых NAND-чипов, вот они и работают сегментами такого размера.

DrMefistO Sep 28 2023 at 16:59

Скорее всего так. До прошивки NAND-контроллера я тоже доберусь. Уже нашёл его JTAG.

VelocidadAbsurda Sep 28 2023 at 17:21

Да, это самодеятельность NAND-контроллера. К примеру, из него наружу хотят классическими секторами по 0x200, сам NAND имеет страницы по 16К, контроллер использует схему ECC по 11 байт на сектор - ну и чхать ему на некрасивые смещения, забивает физические 16K кусками данные+ECC по 0x20B байт подряд без стыков, не разбираясь, где там по задумке производителя NAND данные, где spare, у него в сторону NAND потоковый интерфейс со счётчиками байтов, разделяющий данные/ЕСС на лету, достаточно только задать ему размеры того и другого. Плюс, внимание, где-то не в начале и не в конце физ. страницы может находиться bad block marker (!=FF - блок дефектный, смещение определяет производитель, он сразу на фабрике помечает дефектные блоки. Смещения встречались ну очень некруглые), приличный NAND-контроллер и его на лету отделяет, как ни в чём ни бывало. В итоге на самом нижнем уровне формат может быть ну очень причудливым.

И вишенкой на торте: в NAND, с которого какой-нибудь SoC напрямую грузится в embedded Linux, запросто может быть несколько зон с разными форматами страниц: BootROM понимает какой-нибудь свой причудливый формат, первичный загрузчик записан в нём, вторичным взяли какой-нибудь готовый U-Boot, организующий софтово свой формат, ядро Linux лежит в нём, а в самом ядре в драйвере ФС ещё какой-нибудь третий, и ФС - в нём :)

NickWinter Sep 28 2023 at 22:11

Спасибо за статью! Я все такие устройства в отдельную сеть с изоляцией друг от друга добавляю. Пускай сам себя сканирует. Ну и DNS-фильтрация

FlashHaos Sep 30 2023 at 22:59

Расскажете, какое отношение вы имеете к сбербезикам? Просто за деньги да, или работаете там?

-4

DrMefistO Sep 30 2023 at 23:01

При чём тут "сбербезик"?

FlashHaos Oct 4 2023 at 09:06

А что такое бизон, если не одна из многочисленных управляемых дочек сбера?

Вопрос был сформулирован, конечно же, не вполне корректно, но публикуя статью в блоге компании, вы неизбежно компанию рекламируете. Это, опять же, само по себе не плохо, но интересна связь.

-2

DrMefistO Oct 4 2023 at 10:09

Учитывая тон предыдущего и текущего сообщений, вопросы скорее провокационные, чем из просто праздного интереса, поэтому я не стану на такие отвечать. Могу лишь сказать, что проект по изучению внутрянки колонки - исключительно мой собственный, так как реверс-инжиниринг - моё хобби.

PaulZi Oct 1 2023 at 23:42

работает с сетью даже тогда, когда выключен (но воткнут в розетку)

Видимо для Wake-on-Lan, или подобного, т. к. у меня в ресивере a1010 даже есть настройка для этого. Всё для того, чтобы можно было включить через приложение.

DrMefistO Oct 1 2023 at 23:47

Так можно подумать, но если узнать, что поднимаются абсолютно все порты, которые работают и в нормальном режиме, одной только необходимостью запускаться через приложуху это дело не объяснить.

Art_VN Oct 22 2023 at 02:43

Для Spotify connect же. Или я неправ?
А вот что еще в этот момент железяка делает, помимо того, что ждет подключения клиента, да, есть вопросики.

DrMefistO Oct 22 2023 at 02:44

Там разные, в том числе и Alexa, и 443-й, на который можно команды слать.

ZyMe Oct 3 2023 at 20:00

бывают же умные люди, магия для меня

bonerdelli Oct 22 2023 at 15:41

Отдельное спасибо за netstat -tulpan