Combox内部构造:除了其他东西,控制单元会将宝马汽车的ConnectedDrive服务连接到在线服务器。它的调制解调器可以看到位于电路板的右上角。
Combox所使用的CPU是SH-4A,一款Renesas生产的功能强大的32位RISC处理器。产自Cinterion(原属西门子)的调制解调器完成设备的移动通信功能。同时,该设备也使用一款Renesas 生产的V850ES型微控制器。选择V850ES想必是看中了它的低功耗,即使在车已经停下且引擎不运行的情况下,也能够让调制解调器接收消息。但SH-4A较大的功率需求将会很快耗尽电池存储的电量。
拆卸
刚开始,我从车上拆下COMBOX模块,并把它连接到AC适配器,再激活模块的应急功能,此功能通常通过驾驶舱内的按钮触发。通过查看主板上的模块,我识别出电源线的管脚及连接器(connector)上的应急按钮。互联网上的资料搜集提供了另一种可行的路径:通过下载面向宝马汽车维修中心的诊断软件,它描述了管脚配置信息。为了记录COMBOX在移动网络中产生的流量,我使用基站搭建了测试环境。这个基站可以支持OpenBSC,从而模拟了一个蜂窝网络。(宝马和基站都买不起,肿么办?)
使用类似SysmoBTS或nanoBTS的基站来模拟蜂窝网络,记录控制单元的数据流
当按下应急按钮时,Combox发送文本消息,然后发起语音呼叫。文本消息经加密处理,无法透漏任何可识别的特征。在应急模式被触发的每次测试中,发送的数据看起来都不一样,暗示着数据可能经过加密过处理。
为了查明数据在什么地方加密,我记录蜂窝调制解调器与V850ES微控制器之间的传输数据,该流量通过串行线路传输。为了解调制解调器上连接器的配置,我咨询了网上可以查到的所有型号。因为我在串行线路上记录的数据中无法找到应急文本消息,我断定应急消息的创建和加密位于调制解调器。这个假设是合理的;可以扩展蜂窝调制解调器来提供这样的功能。
