Активувати блок телематики ч.1

Дисклеймер. Одразу хочу попередити, що в цій історії дуже низькі шанси на успішний фінал. Тому читайте лише, якщо вам цікаво, що там усередині, як воно працює, або якщо маєте якісь ідеї, які можна спробувати.

Ще до покупки авто основним критерієм вибору було дистанційне керування. Впершу чергу щоб вмикати клімат дистанційно, я до цього дуже звик і відмовлятись не хотів, це дуже зручно, особливо коли в тебе сидіння з екошкіри :) Після всіх роздумів яке авто придбати мій вибір впав на юнікс, надто вже хороше було співвідношення ціни та якості і візуально мені він дуже зайшов. Хоч саме в плані дистанційного керування ваг постарався найбільше з усіх брендів щоб ти не зміг це зробити якщо ти знаходишся поза межами регіону для якого це авто було зроблено. Юнікс у нас авто для китайського ринку тому все що по замовчуванню ти отримуєш після того як авто прибуває в Україну велике повідомлення на екрані що авто знаходиться поза межами Китаю і ніякі онлайн сервіси чи дистанційне керування тобі не світить. 

Вся комунікація відбувається через блок телематики, у якому в нашому випадку вбудована китайська eSIM. Ймовірно, її деактивовують ще в дорозі, поки авто пливе в Україну. У мультимедії Юнікса є можливість під’єднатися до Wi-Fi, але я так і не зрозумів, навіщо це потрібно і де це можна використати — жодна програма чи сервіс не працює, незалежно від того, під’єднане авто до Wi-Fi чи ні. З іншими китайськими брендами ця проблема вирішується досить просто: випаюєш eSIM із блоку телематики, замінюєш її звичайною SIM-карткою українського оператора і все працює. eSIM — це по суті звичайна SIM-картка, лише у вигляді мікросхеми, тому замінити її технічно нескладно. Це можна зробити і в будь-якому авто VAG Group, але результату не буде — є кілька рівнів захисту від такої маніпуляції.

Пробігшись побіжно по різних форумах, я зрозумів, що шанси активувати сервіси в Україні близькі до нуля. Але й реальних спроб із конкретними результатами я майже не знайшов.Бачив кілька успішних випадків, але їхні повідомлення були промодеровані, а вся корисна інформація — затерта. Стало очевидно, що VAG намагається не допустити просочування таких лазівок, і люди, яким вдалося здійснити ці маніпуляції, сидять тихенько і користуються, не привертаючи уваги. Бо всі твої старання дуже легко можуть прикрити з боку серверів VAG — і максимум, що ти отримаєш, це робочий хотспот в авто. А от доступ до застосунку та дистанційного керування можуть швидко відрізати на їхній стороні.

Прокрутивши всі можливі варіанти, як я таки зможу вмикати той клімат дистанційно, я знайшов три різні підходи (два інших опишу, якщо перший не спрацює).

Після цього я оформив покупку авто з надією, що хоч один із варіантів таки спрацює, і взявся детальніше досліджувати, як працює комунікація у VAG і як усе-таки можна активувати ті кляті сервіси.Для кращого розуміння я придбав блок телематики від китайського ID.4. Як виявилося згодом, в Юнікса — ідентична плата, навіть з тим самим серійним номером. Єдина відмінність — новіша прошивка блоку, яка має так званий захист SFD2.На платі відбувається багато цікавого, але, на жаль, у мене немає ні потрібного обладнання, ні достатнього досвіду, щоб спробувати всі можливі маніпуляції, які тут можна реалізувати. Пробігшись побіжно по платі, я ідентифікував місцезнаходження eSIM і вирішив “вставити її в телефон”. За допомогою простого перехідника я припаявся до eSIM — і побачив наступне:

Картка неактивна, належить оператору China Unicom, номер не відображається. Як я згодом з’ясував, це тому, що картка призначена виключно для IoT — тобто підтримує лише передачу даних. Схожу картку, до речі, має, наприклад, Київстар.Для ідентифікації в мережі використовується номер ICCID, який можна побачити одразу на наклейці блоку телематики — разом із номером IMEI. ICCID — це, по суті, серійний номер вашої SIM-картки.У цей момент у мене виникла думка: картка, ймовірно, неактивна тому, що вона не бачить “рідної” мережі — що логічно. Але ж як ти користуєшся послугами свого оператора, якщо знаходишся поза межами країни? Правильно — через роумінг. У роумінгу трафік іде так само, ніби ти перебуваєш у своїй мережі, просто використовується найближча вишка як проксі. У тебе буде IP-адреса з рідної країни, і на тебе діятимуть ті самі правила та обмеження, що й у домашній мережі. Спочатку я намагався активувати роумінг на оригінальній eSIM. Але без знання китайської та кількох розумних китайських знайомих — це нереальна задача. Я дзвонив оператору, де чув лише only Chinese, а всі листи залишилися без відповіді. Тому я швидко відкинув цей варіант. Трохи помізкувавши, я вирішив придбати SIM-картку цього ж оператора, активувати на ній роумінг і спробувати замінити eSIM на цю SIM. Я оцінював свої шанси як досить високі, адже трафік до серверів мав би йти тим самим маршрутом, що й з оригінальної картки. Хоча тут досі залишається багато факторів захисту, які можуть спрацювати. Насамперед — GPS-локація, а також прив’язка ICCID до VIN автомобіля. Але з чогось треба починати. Можливо, раптом і так спрацює.

Потративши трохи часу та ресурсів, я роздобув SIM-картку China Unicom і активував на ній роумінг.Роумінг працює через оператора Vodafone, і картка поводиться так, ніби ви перебуваєте в рідній мережі: приходять китайські спам-SMS, заблоковано Google, а локація та IP-адреса — з Пекіна.На цьому етапі я зупинився і почав чекати авто. Покатавшись десь тижні два, настав час дістати блок телематики й спробувати вставити туди цю SIM-картку. Я щомісяця платив за користування в роумінгу, тому хотів якнайшвидше зрозуміти — чи варто це продовжувати чи ні. Ідея була така: зробити собі слот для SIM-картки, вивести його кудись у багажник для швидкого доступу, а далі — вже працювати з карткою програмно, якщо буде потрібно. І якщо щось піде не так, через перехідник вставити оригінальну eSIM — і ніби нічого й не було :)

Блок телематики знаходиться посередині, між задніми сидіннями. Найпростіший (але точно не найакуратніший) спосіб його витягти — вирізати квадрат в обшивці кузова :) Навряд чи хтось захоче так вандалити своє авто, тому правильний шлях — знімати задні сидіння. Можна зняти лише нижню частину сидінь, але тоді доведеться зробити надріз у двох місцях, щоб витягнути обшивку (я позначив ці місця на фото). Саме так я і зробив — не захотілося чіпати спинки крісел. Нижню частину сидінь я намагався від’єднати два дні. Металева ложка для взуття допомогла впоратися з цим завданням :) Кліпси, в яких тримаються сидіння, з вірогідністю 95% зламаються — потрібно буде купити нові. Вони недорогі — приблизно 60 гривень за штуку. Також доведеться від’єднати бокові молдинги в кількох місцях, щоб “закотити” обшивку.

Перед тим як від’єднувати блок, для певності можна витягнути запобіжник №19. Я цього не робив — просто від’єднав усі кабелі (потрібно натиснути на фіксатори, щоб вийняти роз’єми) й витягнув блок. Відкрити його досить просто: три шурупи спереду і ще один — ззаду, біля невеликого акумулятора. Цей акумулятор відповідає за підтримку з’єднання навіть тоді, коли авто “засинає”. Витягуємо акумулятор, тоді дістаємо плату. На платі нас у першу чергу цікавить eSIM — вона має маркування IC1303. З цим я і збираюсь поки працювати. На платі також можна побачити багато цікавих компонентів, у які теоретично можна втрутитися й адаптувати блок “під себе”. Наприклад, модем Rolling Wireless AR7596, який по суті є ребрендингом модема Sierra Wireless AR759x серії.

Цікаво, що модеми Sierra Wireless цієї серії раніше продавалися у відкритому доступі, аж поки компанію не викупила Rolling Wireless і не закрила документацію від публіки. Втім, в інтернеті досі є повна документація до цих модемів, а залишки старих версій можна знайти на Alibaba. Найцікавіше, що вони працюють на відкритій прошивці Legato, і весь код із документацією доступний на GitHub. Тобто, якщо десь знайти оригінальний девкіт, можна випаяти цей модем і перепрошити його, щоб зняти обмеження, які зашиває виробник — наприклад, блокування роботи лише з певними SIM-картками. Також є можливість замінити модем на варіант, оптимізований під свій регіон. Наприклад, у китайських авто стоїть AR7596, а в європейських — AR7594, який підтримує більше LTE-частот, поширених у нашому регіоні. Крім того, на платі встановлено популярний в автомобільній промисловості процесор Infineon TriCore TC234 — його повна документація також є у відкритому доступі. На платі можна знайти JTAG-піни, через які, наприклад, зробити дамп пам’яті та адаптувати прошивку під себе. Але це вже досить складні маніпуляції, для яких у мене поки що немає ні досвіду, ні необхідного обладнання. Тому наразі я просто випаяв eSIM і встановив замість неї слот для звичайної SIM-картки.

Слот для SIM-картки я придбав від Android-магнітоли — його легко знайти в інтернеті. До нього я додав додатковий розгалужувач, щоб було зручніше міняти SIM-картки. Плюс, він має індикатор, який показує, чи подається живлення на картку — це дуже допомагає зрозуміти, чи працює SIM-картка в даний момент. Також я придбав адаптер з eSIM на SIM, щоб у разі потреби можна було “вставити” оригінальну eSIM назад. Зібрав усе докупи - тепер маю слот на сім картку в багажнику :)

Ну і найцікавіше — що я отримав у результаті? Та нічого справді важливого на даний момент :) З’явилося багато помилок у системі, червоний індикатор SOS тепер постійно світиться, і виводиться повідомлення «Сигнал SOS недоступний». На екрані мультимедіа чітко відображається сигнал активної SIM-картки та індикатор 4G. За цей час я встиг вивчити практично всі можливі варіанти статусу мережі:

• Якщо SIM-картки немає взагалі — буде показано 3G з чорними смужками сигналу (але сам сигнал буде відсутній).

• Якщо SIM-картка неактивна — буде 3G із сірими смужками.

• Якщо SIM активна — в 90% випадків буде 4G і чорні смужки сигналу. Іноді — 3G або навіть EDGE.

Також я кілька днів їздив взагалі без блоку телематики. У такому випадку:

• GPS буде відключено;

• не буде з’являтися повідомлення «Ви знаходитесь поза межами Китаю»;

• мікрофон в авто не працюватиме, бо він теж підключений до блоку телематики.

Фактично, це майже єдина його функція, яка справді корисна для користувача в Україні.

Моя китайська SIM-картка так і не змогла підключитися до серверів VAG (підключення мало б супроводжуватися появою чорного глобуса біля індикатора сигналу). Моє припущення: це сталося ще на етапі завантаження блоку — ймовірно, перевіряється ICCID SIM-картки, як я згадував раніше. Після цього я почав експериментувати з хот свапом SIM-картки. Завантажити блок із оригінальною SIM, а потім швидко підмінити її на свою. У 95% випадків через кілька секунд живлення на SIM припинялося — що означало система розпізнає підміну й вимикає живлення на слот. Проте одна з перших спроб була успішною — SIM продовжила працювати після підміни, і через кілька хвилин на мультимедійному екрані я побачив чорний глобус. Проблема в тому, що тоді я тестував різні SIM-картки: українські та китайську, і саме в той момент у слоті стояла картка Київстар. Пізніше, переглядаючи помилки через VCTool, я побачив повідомлення, яке, ймовірно, свідчить про те, що я таки достукався до серверів VAG, але отримав відмову в автентифікації — через те, що трафік йшов із «неправильної» SIM. Відтворити цей трюк із китайською карткою мені вже не вдалося. Чи я вже отримав “вічний бан” по VIN-коду, чи ще можна щось обійти — не знаю. З цього можна зробити невелике припущення: під час завантаження блоку відбувається перевірка автентичності SIM-картки, яка прив’язана до конкретного блоку телематики. І тільки після проходження цієї перевірки блоку дозволяється ініціювати зв’язок із сервером.

Наразі це все. Розбираюся, що ще можна зробити з програмного боку. Бачив процедуру активації блоку телематики в ODIS після заміни — думаю, спробувати її наступною.