24 or 1024? PWN Jawbone Up24 手环
硬件参数 CPU:Texas Instruments, MSP430/F5548 存储:Macronix, MX25L8006E 蓝牙:Bluetooth 4.0(BLE)
PWN: 目标1:修改蓝牙属性 目标2:增加功能 Generic Access的DeviceName Up24->GeekPwn 当添加时间为10:24的闹钟时,手环“闪屏+震动”
HID 读写rom 设置数据:闹钟等 手环记录数据
步骤: PWN Updater 去除rom校验 Patch->刷自制Rom Rom解密 PWN Rom 逆向 增加功能 编译
破解Updater Rom校验
破解Updater
破解Updater 去除版本校验
破解Updater 去除刷机次数限制
破解Updater 刷自定义ROM
Rom解密 UpUpdater.Firmware.latestPottier.mxu RC4 Zlib.compress(有坑) tar
Rom解密 Trick:影响rom回编
Rom破解 阻碍: 解决方法: App DRM保护,破解蓝牙通信协议困难 Msp430指令集 无法调试,全静态 快速学习+试错 IDA静态分析 有少量的调试字符串信息可供参考 先全览全局,再单点突破
Rom破解 Hex Text:烧录Rom格式 V7-BSL-3.0.1.txt: Boot Strap Loader NB_EndUserV7_ti.txt: Application
修改DeviceName
增加10:24功能 解析蓝牙通信数据协议 找到闹钟数据读写代码 Inline hook: 劫持+闪屏+振动
解析蓝牙通信数据协议 多次抓包,比较异同 0x02: 闹钟重复周期 0x0270: 闹钟结束时间 0x025c: 闹钟开始时间
ROM逆向 16位,64k寻址 27条内核指令 16个寄存器 中断: 时钟 LED 震动 蓝牙 …
Rom逆向 中断分支逻辑
闹钟读写代码
闹钟读写代码
闹钟读写代码 1 2 3
Rom编译 Tar Compress(Trick) rc4
PWN! 破解Updater:2周 解密Rom+编译器:3周 逆向Rom+增加功能:3周 GeekPwn
Contact www.colordancer.net 微博@colordancer