bq40z50 - lamanie unseal hesla
Napsal: 27 bře 2023, 22:45
Mam tu bateriu z notebooku Asus, ktora sa po skrate zablokovala. Skrat v notebooku som opravil, ale bateria je mrtva.
Bateria ma clanky nabite, poistku neporusenu. Akurat blby status a nulovy nabijaci prud aj napatie:
bq40z50 nezapne vstupne/vystupne FETy, pretoze ma vo flash ulozenu Permanent Failure (preto aj nulove nabijacie napatie a prud):
-> ASCDL (Bit 11): Short-circuit During Discharge Latch detected
Datasheet aj technical reference su dostupne - takze viem, ze je potrebne najprv urobit unseal. Lenze defaultne heslo (0x0414 0x3672) nefunguje.
Vraj na tieto bq existuje nejaky backdoorovy prikaz na prechod do FULL ACCESS modu - pouzivaju ho drahe resetovacie programy, ale nikto ho nezverejnil.
Takze ostava este moznost zlomit to nejakou inou metodou. Brute force celych 32-bitov je nerealny. Je tam ale sanca, ze by sa to dalo zlomit ako 2x 16-bitov - znizit zlozitost pomocou bocneho kanala - napr. merat odber prudu po odoslani prikazu. Pri spravnej casti hesla by mohol mat iny priebeh.
Mate nejake skusenosti s takymto postupom? Chcelo by to zaznamenavat a vyhodnocovat ten prud automaticky nejakym skriptom - rucne to je nerealne.
Bateria ma clanky nabite, poistku neporusenu. Akurat blby status a nulovy nabijaci prud aj napatie:
Kód: Vybrat vše
SMBusb Firmware Version: 1.0.1
-------------------------------------------------
Manufacturer Name: AS19QOc3jB
Device Name: X705--36
Device Chemistry: PAI0
Serial Number: 5984
Manufacture Date: 2018.11.29
Manufacturer Access: 6b80
Remaining Capacity Alarm: 372 mAh(/10mWh)
Remaining Time Alarm: 228 min
Battery Mode: 6001
At Rate: 0 mAh(/10mWh)
At Rate Time To Full: 65535 min
At Rate Time To Empty: 65535 min
At Rate OK: 1
Temperature: 21.25 degC
Voltage: 12046 mV
Current: 0 mA
Average Current: 0 mA
Max Error: 1 %
Relative State Of Charge 100 %
Absolute State Of Charge 10 %
Remaining Capacity: 364 mAh(/10mWh)
Full Charge Capacity: 364 mAh(/10mWh)
Run Time To Empty: 65535 min
Average Time To Empty: 65535 min
Average Time To Full: 65535 min
Charging Current: 0 mA
Charging Voltage: 0 mV
Battery Status: 4ae0
Cycle Count: 378
Design Capacity: 3727 mAh(/10mWh)
Design Voltage: 11550 mV
Specification Info: 0031
Cell 0 voltage: 0 mV
Cell 1 voltage: 4023 mV
Cell 2 voltage: 4011 mV
Cell 3 voltage: 4013 mV
Kód: Vybrat vše
./smbusb_comm -a 16 -c 00 -w 0054 && ./smbusb_comm -a 16 -c 23 -r 2
00080000
Datasheet aj technical reference su dostupne - takze viem, ze je potrebne najprv urobit unseal. Lenze defaultne heslo (0x0414 0x3672) nefunguje.
Vraj na tieto bq existuje nejaky backdoorovy prikaz na prechod do FULL ACCESS modu - pouzivaju ho drahe resetovacie programy, ale nikto ho nezverejnil.
Takze ostava este moznost zlomit to nejakou inou metodou. Brute force celych 32-bitov je nerealny. Je tam ale sanca, ze by sa to dalo zlomit ako 2x 16-bitov - znizit zlozitost pomocou bocneho kanala - napr. merat odber prudu po odoslani prikazu. Pri spravnej casti hesla by mohol mat iny priebeh.
Mate nejake skusenosti s takymto postupom? Chcelo by to zaznamenavat a vyhodnocovat ten prud automaticky nejakym skriptom - rucne to je nerealne.