24 or 1024? PWN Jawbone Up24 手环.

Presentation on theme: "24 or 1024? PWN Jawbone Up24 手环."— Presentation transcript:

1 24 or 1024? PWN Jawbone Up24 手环

2

3 硬件参数 CPU：Texas Instruments, MSP430/F5548 存储：Macronix, MX25L8006E
蓝牙：Bluetooth 4.0(BLE)

4 PWN： 目标1：修改蓝牙属性 目标2：增加功能 Generic Access的DeviceName Up24->GeekPwn
当添加时间为10:24的闹钟时，手环“闪屏+震动”

5 HID 读写rom 设置数据：闹钟等 手环记录数据

6 步骤： PWN Updater 去除rom校验 Patch->刷自制Rom Rom解密 PWN Rom 逆向 增加功能 编译

7 破解Updater Rom校验

8 破解Updater

9 破解Updater 去除版本校验

10 破解Updater 去除刷机次数限制

11 破解Updater 刷自定义ROM

12 Rom解密 UpUpdater.Firmware.latestPottier.mxu RC4 Zlib.compress（有坑） tar

13 Rom解密 Trick：影响rom回编

14 Rom破解 阻碍： 解决方法： App DRM保护，破解蓝牙通信协议困难 Msp430指令集 无法调试，全静态 快速学习+试错
IDA静态分析 有少量的调试字符串信息可供参考 先全览全局，再单点突破

15 Rom破解 Hex Text：烧录Rom格式 V7-BSL-3.0.1.txt: Boot Strap Loader
NB_EndUserV7_ti.txt: Application

16 修改DeviceName

17 增加10：24功能 解析蓝牙通信数据协议 找到闹钟数据读写代码 Inline hook: 劫持+闪屏+振动

18 解析蓝牙通信数据协议 多次抓包，比较异同 0x02: 闹钟重复周期 0x0270: 闹钟结束时间 0x025c: 闹钟开始时间

19 ROM逆向 16位，64k寻址 27条内核指令 16个寄存器 中断： 时钟 LED 震动 蓝牙 …

20 Rom逆向 中断分支逻辑

21 闹钟读写代码

22 闹钟读写代码

23 闹钟读写代码 1 2 3

24 Rom编译 Tar Compress（Trick） rc4

25 PWN! 破解Updater：2周 解密Rom+编译器：3周 逆向Rom+增加功能：3周 GeekPwn

26 Contact