Investigación sobre cuadros digitales de Omega A/Senator B/Vectra A 2000 16V

[dannielp]

Sobre el tema de km o millas, no tengo tan claro cómo funciona. No tengo un tech1 para reprogramar y probar. Con lo que me dices entiendo que el valor total de la distancia recorrida es el mismo expresado en km o millas (distinta cifra).

Correcto. Ejemplo: si tengo un quadro que registra 125.000 km, cuando la reprograme por millas, mostrará 125.000 millas (y no 77.600mi). Solo entonces contará en millas. Entonces podemos concluir que el 8051 muestra cualquier valor enviado por IC7, sin ninguna manipulación.

Efectivamente, yo llegué a esta misma conclusión, lo que me hizo pensar en que el IC7 debía tener un tipo de "inteligencia" para poder recibir este dato y realizar las cuentas en función de él, no podía ser sólo un contador con una memoria.

Al parecer la comunicación entre los dos se hace en paralelo, pero no sé si hay un clock para sincronizar. Debería repetir el experimento probando todos los pines, ahora que tenemos información sobre a qué pines del puerto 5 están conectados.

Como puedes ver no tuvo éxito, lo que nos hace dudas de aquel video de Alexandre Islas, que por cierto ha borrado todos sus vídeos de su canal de youtube.
Yo, como ya dije antes, considero que este hombre estaba mintiendo u ocultando información.

Una de las fotos utilizadas en el video era de un panel que mostraba 15 millas. Esta foto fue tomada por una persona que compró el nuevo panel. Esto me hizo sospechar la posibilidad del servicio.

En algunos cuadros, el micro que se usa es el 80515 con ROM interna. La verdad es que no he mirado si es posible volcar toda la ROM o si va protegida. Miraré el datasheet.
Otros cuadros, usan el 80535 con ROM externa. De estos cuadros no he tenido ninguno. Los 2 que compré llevaban el 80515.
Si es posible volcar el código de programa y pasarlo a ensamblador se podrían ver prácticamente todo el funcionamiento del cuadro.

Todos los que he visto vendidos en Brasil tienen una ROM interna, a pesar del espacio en la placa para la ROM externa.

Aparentemente, según la hoja de datos de Siemens, no hay protección contra la lectura del código interno. No lo he tocado en mucho tiempo (desde la universidad para ser más exactos) pero si obtengo una grabadora eprom puedo escribir un programa que, en teoría, enviaría los datos desde la ROM interna a través del puerto serial.

Una pregunta que creo que no ayuda al problema, pero que me despertó la curiosidad.
Supongamos que se utilizan 5.548 pulsos VSS por kilómetro.
Si el vehículo viaja una cantidad relativa, digamos 3.000 pulsos y la batería está desconectada, al volver a cablear, ¿recibir los 2.548 pulsos restantes contará como 1 kilómetro o se perderán todos esos pulsos?


Salutos,

Danniel

[p1ns]

Lo de las millas lo había entendido al revés... o el traductor no ha funcionado bien. Tampoco quiero centrarme mucho en lo de los km o millas ahora.

Sobre la comunicación entre el 80515 y el chip de microchip tengo capturas lógicas. Es díficil (al menos para mí) poder reconocer cómo puede ser la comunicación sólo con eso.

Sobre Alexandre Islas yo no sé lo que hizo exactamente. Puede que consiguiera varios cuadros nuevos, les subiera el kilometraje desde cero al valor deseado por el cliente y luego intercambiase el chip de microchip.

Aquí hay una foto de un cuadro de omega con el chip de ROM. Como ya es habitual, no tiene ninguna identificación conocida.



Sobre el obtener la ROM del 80515, no sé si es como dices. Según el datasheet el procedimiento para leer la ROM interna es el siguiente:



En cualquier caso sería necesario desoldar el chip de la placa.


Respecto a tu última cuestión, en las pruebas que yo hice, quitando toda alimentación al cuadro, si no se recorre un km completo, los pulsos que se han mandado se "pierden".

[dannielp]

Lo de las millas lo había entendido al revés... o el traductor no ha funcionado bien. Tampoco quiero centrarme mucho en lo de los km o millas ahora.

perfectamente, esto es irrelevante para el propósito del tema ... Me pareció interesante citarlo solo para comprender mejor cómo funciona.

Sobre la comunicación entre el 80515 y el chip de microchip tengo capturas lógicas. Es díficil (al menos para mí) poder reconocer cómo puede ser la comunicación sólo con eso.

También me resulta muy difícil (algunas personas son buenas reconociendo ciertos patrones, yo no soy uno de ellos) pero si tenemos una captura con la inicialización y con dos valores de kilometraje consecutivos, podemos tener una salida.

Aquí hay una foto de un cuadro de omega con el chip de ROM. Como ya es habitual, no tiene ninguna identificación conocida.

Creo que es una ROM común con encapsulación PLCC-32, como una 27C512. ¿Estarías dispuesto a desoldar y leer uno? ¿O sabrías si los paneles que salieron con una ROM externa pertenecen a una serie específica? Por ejemplo, ¿un año de fabricación o un número de pieza?

Sobre el obtener la ROM del 80515, no sé si es como dices

Mi idea sería utilizar un ataque de código externo.
De acuerdo con la hoja de datos 8051, aquellos con una ROM interna también se pueden usar con una memoria externa. Para esto, el pin EA debe llevarse al nivel BAJO.
Con este pin en un nivel bajo, el 8051 comienza a ejecutar el código desde la memoria externa.
con este código cargado en el Contador de Programa del 8051, el pin EA vuelve al nivel alto, dejando la memoria interna visible. Con eso sería posible leer todos los 8kB de Mask-ROM.

Algunos fabricantes ya en los años 90 notaron esta falla de seguridad y pusieron mecanismos para prevenirla, que es hacer un Latch del estado del pin EA durante el Reset. Sin embargo, la hoja de datos SAB80C515 no menciona esto. Creo que puede funcionar.

Respecto a tu última cuestión, en las pruebas que yo hice, quitando toda alimentación al cuadro, si no se recorre un km completo, los pulsos que se han mandado se "pierden".

Creo que esto refuerza la idea de que el IC7 es un microcontrolador (¿un PIC?) Que hace todos estos cálculos en la RAM antes de guardarlo permanentemente.

Salutos,

Danniel

[p1ns]

No sé qué paneles salieron con ROM externa. Los paneles de vectra todos los que he visto llevan el chip de ROM (en fotos, nunca he tenido ninguno). Sin embargo, los paneles de omega/senator parece que algunos llevan y otros no. Los 2 que yo he tenido no tenían ROM externa. Uno era del 89 y otro del 91 así que diría que no depende del año. La verdad es que no lo sé.

A mí no me importa desoldar un chip de ROM pero el problema es encontrar un cuadro con ROM externa. No puedo estar buscando y comprando cuadros (que ya escasean) con la esperanza de que alguno lleve ROM externa.

De todos modos, yo no estaría tan seguro de la ROM sea una referencia estándar.

Sobre el ataque de código externo, no lo conocía... de todos modos para hacer eso también tienes que desoldar el chip y luego conectar todo en otra placa... no es muy sencillo.


Yo como ya he escrito antes otras veces, considero que el IC7 es un microcontrolador con EEPROM todo en 1. Una pieza custom claro, ya que no existe en ningún catálogo de microchip de esa época...

[dannielp]

Los cuadrosVectra ciertamente venían con una ROM externa debido al bajo volumen que no justificaría desarrollar una Mask-ROM para ellos. Omega debe haber recibido el pronóstico en caso de escasez de existencias o para acelerar el desarrollo en el lanzamiento.

De todos modos, encontré otro documento de Siemens que describe las diversas MCU de la familia 8051 que suministraron en ese momento.

El 80C515A explica que tiene seguridad contra la lectura de la ROM, de la siguiente manera:

Código:

As a  new feature the SAB 83C515A offers the possibility of protecting the internal ROM against unauthorized access. This protection is implemented in the ROM-Mask. 
Therefore, the decision ROM-Protection 'yes' or 'no' has to be made when delivering the ROM-Code. Once enabled, there is no way of disabling the ROM-Protection.
Effect: The access to internal ROM done by an externally fetched MOVC instruction is disabled. Nevertheless, an access from internal ROM to external ROM is possible.

La serie 80C515, N, como la que publicó la foto en la página 3, no menciona esta característica. Entonces, un código de tipo MOVC A, @DPTR puede funcionar.

No recuerdo exactamente qué MCU está en los paneles que vinieron a Brasil, pero estoy seguro de que tenemos una oportunidad. Solo necesito una grabadora EPROM para probar.

[Jaimagoras]

Ostras, hace tiempo que no me pasaba y hay información jugosa.

La parte de desensamblar el código de la ROM del 8051, lo veo la manera más segura pero la menos ágil. Me parece un follón

Si tenéis capturas lógicas de lo que se "hablan" el 8051 y el IC7, propongo emularlas con otro microcontrolador y decirle al 8051 lo que quiere oír . P1ns, si me las pasas puedo intentar emularlo todo con un PIC. Puede servir tanto para indicar los km, como para pasar de pulsos/km a km

Saludos

[p1ns]

Pongo aquí un par de capturas que le pasé a jaime... aunque yo la verdad no veo nada : /

https://gofile.io/d/xBOA4a

[K_V6]

Y yo como si no lo viera porque me quedé igual q antes