Radio-Code ermitteln

  • Habe mir vor kurzem einen Flash/EEPROM Reader/Write zugelegt und da ich gerade noch ein FX Bastelboard vor mir hatte, hab ich einfach mal das EEPROM entlötet (ST 95640W 2kb im 8 Pin SO8 Gehäuse) und ausgelesen. Das rohe BIN-File habe ich hier mal eingefügt.


    Hier mal, nur so zum zeigen der Inhalt mit einem HEX-Editor (HxD) dargestellt:


    Die ersten Bytes sind jedenfalls der Gerätetyp im ASCII-Format: 7 612 330 547
    Die Seriennummer des Gerätes lautet: 815 C7E3F0547 A 3245002
    Es ist ein Modell: 9M5T 18K931 DA


    In dem EEPROM steckt irgendwo der Radiocode drin. Aber sicher nicht im Klartext oder als Binärwert, sondern verschlüsselt. Da reicht schon ein ROT13 oder XOR und man sieht es nicht auf Anhieb. Werde jetzt mal etwas die Daten analysieren und mal schaun was ich rausbekomme. Die Seriennummer sollte auch irgendwie darin codiert sein. Aus dieser lässt sich der Radiocode ebenfall ermitteln (berechnen).


    Vielleicht hat ja einer Lust mit zu tüfteln, oder gar schon eine Idee!? :-)


    P.S.: Bevor es wieder Geschrei gibt: Es geht mir hier rein ums technische Prinzip, nicht darum eine Diebstahlsicherung zu umgehen. Jeder der sich auch nur ansatzweise mit dem Thema beschäftigt hat weiss, das der Radiocode ohnehin keine Sicherung ist.

  • Zitat

    von Go4IT:
    Die Seriennummer sollte auch irgendwie darin codiert sein. Aus dieser lässt sich der Radiocode ebenfall ermitteln (berechnen).


    Genauso hätte ich das erwartet, also dass das Radio sich den PIN Code aus der Seriennummer errechnet.
    Oder ist der Algorithmus dafür zu geheim, so dass der Hersteller die PIN lieber verschlüsselt ablegt?
    Ich weiß es nicht.

    Mondeo Turnier 2.0 FFV Titanium, Thunder, ACC, IVDC, Bi-Xenon, KeyFree+PowerStart, Alarmanlage, Solarreflect, PDC vorn u. hinten, TPMS, Sitzklima, Luftqualitätsmesser+kühlbares Handschuhfach, Sony-6CD, Bluetooth-FSE incl. S&C, Außenspiegel anklappbar, silberfarbene Dachreling, Notrad incl. Wagenheber


    Selbsteinbau: Rückfahr- u. Front-Kamera mit 9" TFT-Monitor in der Sonnenblende, Ambiente-Beleuchtung in den Türgriffmulden, Rückstrahler an allen 4 Türen beleuchtet


    Baumonat 10/2008

  • Es geht schon so in die Richtung. Ist natürlich nicht bei allen Radios gleich, aber bei den meisten benötigt man ja nur die Seriennummer um den Code zu ermitteln (zu berechnen). So auch beim FX. Leider sind die Programme dafür entweder stark kostenpflichtig oder so mit Viren verseucht das man besser die Finger von lässt. Jedenfalls ist der Algo nicht allgemein bekannt und es wird ein riesen Geheimnis drum gemacht. Klar, weil ganze Heerscharen von Code-Händlern damit gut Kasse machen. Die wollen entweder die Serien- und Modellnummer oder einen Dump vom EEPROM.


    Ich denke das der dahinter liegende Algorithmus äußerst trivial ist, wenn man ihn denn kennt. Mit diesem berechnet die Software im Radio den Code. Ich glaube also nicht das man den Code im EEPROM-Dump finden wird. Warum aber dann die Seriennummer nicht lesbar im Dump drin steht ist mir ein Rätsel, denn das ist ja nichts geheimes.


    Bleiben wir mal bei den Fakten die wir kennen. Die Seriennummer des Radios ist auf dem seitlichen Aufkleber vorhanden und zusätzlich auch noch eingraviert (rot umrandet):


    (1) Ist die Ford-Teilenummer: xxxx-18K931-yy (xxxx gibt den Radiotyp und das Ersterscheinungsjahr dieses Typs an. yy die Hard- und Softwareversion)
    (2) Die eigentliche Geräte-Seriennummer
    (3) Typennummer des Herstellers (Blaupunkt): 7 612 330 547
    (4) Die dritte, große Ziffernfolge ist mir unbekannt, scheint aber überall gleich zu sein.
    (5) Zusätzlich eingravierter der Seriennummer


    Hier mal meine kleine Sammlung von Labels. Vielleicht ist ja ein Muster erkennbar:


    Die erste 3er-Ziffer ist fast immer gleich "881" und einmal hab ich ne "815". Es gibt also hier eine Varianz. Was auffällt ist, das auch bei unterschiedlichen Gerätemodellen (sind ja teils aus Focus, Mondeo, Kuga, S-Max und C-Max) ein Teil der Seriennummer immer fix "C7E3A0" enthält. Die dreistellige Zahl dahinter entspricht der letzten drei Ziffern des Herstellermodellcodes. Es folgt die alleinstehende Ziffer mit "8" oder "9". Die letzten Stellen sind so unterschiedlich das sie mit Sicherheit wenigstens die letzten Stellen der eigentlichen Seriennummer enthalten, oder diese komplett darstellen.
    Bei dem neuesten Radio, dem 9M5T ist hier ein "A", also geht das hexadezimal weiter, oder nach dem Alphabet. Evtl. ist diese Stelle auch Bestandteil der Seriennummer.


    Die Herstellernummer ist direkt mit der Ford-Teilenummer verbunden. Die "7 612 300" scheint hier fix zu sein und die letzten drei Stellen geben das Modell wieder. Vielleicht hab ich zuwenig Daten, aber die Zahl ist ein Index der Teilenummer:
    8M5T ... GB = 542
    8M5T ... GC = 544
    8S7T ... AD = 524

  • Die "0547" der Serien-Nr. ist Teil des Gerätestyps,
    der hintere Teil der Serien-Nr. "3245002" steht auch in der 1. Zeile des Hex-Prints, in quasi polnischer Notation (siehe Bild),
    das "A" dazwischen - evtl. die AA AA am Ender der 1. Zeile?
    Bei Deinen anderen Beispielen steht da anstatt des A eine 8 bzw. eine 9. - Evtl. steht dann am Ende in der 1. Zeile ja 88 88 bzw. 99 99.

    Bilder

    Mondeo Turnier 2.0 FFV Titanium, Thunder, ACC, IVDC, Bi-Xenon, KeyFree+PowerStart, Alarmanlage, Solarreflect, PDC vorn u. hinten, TPMS, Sitzklima, Luftqualitätsmesser+kühlbares Handschuhfach, Sony-6CD, Bluetooth-FSE incl. S&C, Außenspiegel anklappbar, silberfarbene Dachreling, Notrad incl. Wagenheber


    Selbsteinbau: Rückfahr- u. Front-Kamera mit 9" TFT-Monitor in der Sonnenblende, Ambiente-Beleuchtung in den Türgriffmulden, Rückstrahler an allen 4 Türen beleuchtet


    Baumonat 10/2008

  • Sehr gut gobang ! Klassische Analyseverfahren, hätte ich auch drauf kommen können ;-) Ich glaub auch irgendwie das diese letzten Ziffern die eigentlich relevante Seriennummer ist und der kram davor was anderes bedeutet.
    Die "A" oder "9" oder "8" steht womöglich für das Herstellungsjahr, so wei bei der Ford-Teilenummer. 9=2009, A=2010.


    Habe gerade ein kleines Experiment gemacht, was ich etwas erdet. Und zwar hab ich das EEPROM aus einem anderen FX ausgelötet (nennen wir es Gerät "B") und ausgelesen (siehe Anhang. Der Pin ist 7067). Die Unterschiede sind beachtlich. Natürlich auch die Modellnummer. Dann habe ich das EEPROM von Gerät "A" in "B" verbaut und irgendwie erwartet das ich an "B" nun den Code von "A" habe. Dem ist aber nicht so, Gertä "B" behielt seinen Pin!


    Nach dem auslöten aus "B" habe ich das EEPROM wieder ausgelesen, weil ich wissen wollte ob der Inhalt überschrieben wurde. Es war aber noch exakt so wie vor dem Einbau. Ich habe extra die eine Falscheingabe nicht mit dem richtigen Code korrigiert und auch irgendwie erwartet, das dies irgendwie im EEPROM "festgehalten" wird. Auch dem war nicht so.


    Das legt mir den Schluß nahe das im EEPROM nur Konfigs gespeichert werden, aber keinesfalls eine Seriennummer oder der Radio-Code.


    Schade!

  • Zitat

    von Go4IT:
    Das legt mir den Schluß nahe das im EEPROM nur Konfigs gespeichert werden


    Evtl. funktionieren die FX ja sogar, wenn man bei diesem EEPROM einen unprogrammierten einlötet?
    Vermutlich muss aber wenigsten ein anfänglicher Speichercheck ein OK liefern, wofür es wahrscheinlich doch ein gewisses Anfangsmuster braucht.

    Mondeo Turnier 2.0 FFV Titanium, Thunder, ACC, IVDC, Bi-Xenon, KeyFree+PowerStart, Alarmanlage, Solarreflect, PDC vorn u. hinten, TPMS, Sitzklima, Luftqualitätsmesser+kühlbares Handschuhfach, Sony-6CD, Bluetooth-FSE incl. S&C, Außenspiegel anklappbar, silberfarbene Dachreling, Notrad incl. Wagenheber


    Selbsteinbau: Rückfahr- u. Front-Kamera mit 9" TFT-Monitor in der Sonnenblende, Ambiente-Beleuchtung in den Türgriffmulden, Rückstrahler an allen 4 Türen beleuchtet


    Baumonat 10/2008

  • Das kann ich ja mal probieren. Gut möglich das es einige der Einstellungsparamter zum starten braucht. Da liegen aber auch unwichtige Dinge drin, wie die gespeicherten Sender und Navi Ziele.


    Die Seriennummer vom Gerät wird dann wohl woanders liegen. Im Bootloader des OMAP z.B.

  • Ich schau jetzt mal eher in Richtung des Prozessors. Laut Aufdruck ist das ein "OMAP5948" von TI (Texas Instruments). Laut deren Homepage gibt es zu diesem Typen keinerlei Informationen, was komisch ist. Die OMAP-Produktfamilie enthält sogenannte "Anwendungsprozessoren" und die Abkürzung "OMAP" steht für "Open Multimedia Applications Platform" und speziell für Bild- und Videoverarbeitung ausgelegt.


    Auf der TI-Homepage gibt es eine Aufstellung aus der man glauben könnte das dieser Chip zur OMAP5-Reihe gehört, dem ist aber nicht so. Nach meiner Recherche ist das ein speziell für diese Anwendung konzipierter Chip, welcher aus einem DSP (TMS320C55x) und einem ARM9-Prozessor (ARM926EJ-S) besteht und damit eher aus der OMAP1 oder OMAP-L1 Baureihe stammt. Für diese Sonderprodukte gibt es keine öffentlich verfügbaren Datenblätter, da diese nur an die Entwickler und Käufer der Produkte ausgehändigt werden. Wirklich interessant ist aber eh nur die CPU und ein ARM9 ist ein ARM9 ;-) Neben den beiden Komponenten hat der Chip auch noch eigenen Flash und RAM und genau hier könnten die gesuchten Infos drin stehen.


    Das interessante hier ist, das solche Microchips oft eine Debug-Schnittstelle besitzen, meist J-TAG oder SWD. Mit einem entsprechenden Adapter und Software sollte man in der Lage sein das Programm schrittweise auszuführen, Breakpoints zu setzen, den Arbeitsspeicher zu Laufzeit auszulesen, aber auch das Flash. Hier werde ich mal ansetzen.


    Weiterhin gibt es für die OMAP-Serien auch immer sog. Referenz-Designs, also quasi Schaltungsvorschläge, so wie man sie üblicherweise in Datenblättern findet. Diese werden i.d.R. 1zu1 von Entwicklern übernommen. Darin enthalten sind dann Hinweise wie man ext. RAM anbindet, oder zusätzlichen Flash, aber auch andere Peripherie wie IOs (CAN, I2C, Serial, etc.). Eine solche Info ist sicher nützlich.

  • aber keinesfalls eine Seriennummer oder der Radio-Code.


    Der Radiocode wird wohl in keinem der Speicher abgelegt sein. Wozu auch, der Code kann vom Prozessor aus der Seriennummer jedes mal berechnet werden wenn er zum Vergleich mit der Eingabe benötigt wird. Was nicht gespeichert ist kann auch nicht ausgelesen werden. So kann man nur mit Kenntnis des Algorithmus an den Code kommen. Den aus der Firmware zu extrahieren ist ungleich schwieriger als den Speicher auszulesen. So lange der Algorithmus unbekannt war waren geklaute Geräte recht wertlos.

  • @BBG-AE185 so wird es wohl sein. Aber wenigstens die Seriennummer muss irgendwo drin stehen :-)
    Das mit dem auslesen vom Code aus dem EEPROM trifft auf andere Modelle zu, aber nicht beim FX, NX oder MCA. Hier habe ich gelesen das einige aus dem Dump des Flash den Code "entnehmen" oder "errechnen" konnten. Naja, wenn dieser Aufwand nur dazu diente an die Seriennummer zu kommen... bin da noch in Klärung.


    Es gibt ja genug Foren in denen Codes "gehandelt" werden. Den Algorithmus gibt keiner preis, aber vermutlich auch weil den von den "Anbietern" keiner kennt. Das sind einfach nur Monkeys die sich für ein paar hundert Öcken eine Martech Polensoft gekauft haben und damit jetzt Kasse machen wollen. Das allein stinkt mir!


    Als Nebeneffekt lerne ich viel über die Plattform, was mir wiederum bei meinen Reparaturen hilfreich ist. Habe ja noch ein defektes NX hier liegen, was gern wieder leben will ;-)
    Das FX wurde wohl auch noch für andere Marken vertrieben. Es gibt Hinweise das es intern baugleich mit dem VW-Modell RNS 310 bzw. RNS 510 ist. Das dürfte aber wohl nur auf die Hardware zutreffen.

  • Ich werfe mal ein, daß es die Radiocodes bei Ford schon seit Mitte oder Ende der 80er Jahre gibt. Und da war noch nichts mit Prozessor im Radio und Code berechnen. Da muß es also einen Speicher in den Geräten geben wo der Code drinsteht.
    Irgendwo habe ich mal gelesen (unbestätigtes Gerücht), daß diese Art der Codierung bis incl. FX benutzt wurde. Ab dem NX soll das dann wohl angeblich anders funktionieren. Deshalb können die "Code-Anbieter" auch für neuere Geräte meist nicht weiterhelfen.

    Gruß aus Erfurt


    Schon der dritte Ford und der Fahrer wird nicht schlau draus!

  • ich werfe mal ein, daß es die Radiocodes bei Ford schon seit Mitte oder Ende der 80er Jahre gibt.


    das bedeutet nicht automatisch das das Entsperren immer nach dem gleichen Prinzip realisiert wurde. Das FX kann den Code problemlos errechnen


    daß diese Art der Codierung bis incl. FX benutzt wurde. Ab dem NX soll das dann wohl angeblich anders funktionieren.


    ich kann nur spekulieren, Mainboard technisch sind FX und NX sehr ähnlich. Auch das Erscheinungsdatum ist nahezu identisch. Ich glaube nicht das da Welten zwischen den Typen liegen.


    Es gibt im Netz auch Anbieter die den Code für FX/NX aus der Seriennummer errechnen

  • Ich habe ja hier sowohl ein FX als auch ein NX als auch ein MCA Board und kann sagen das die Mainboard nicht nur ähnlich sind, sondern quasi Identisch. Lediglich ein paar Stecker sind anders platziert und bei dem Gerät mit DVD sind noch ein paar Bauteile mehr. Aber das ist alles "eine Soße". Die verwendeten Hauptbestandteile wie MPU, RAM, FLASH sind alle gleich. Also ist es letztlich nur eine Frage der Software wie der Code behandelt wird.


    Momentan ist mein Wissenstand der:
    - Gaaanz früher waren die Codes fest im Gerät implementiert (EEPROM) und wurden sogar bei Ford in einer Datenbank gehalten. Das sind die Modelle mit M und V in der Seriennummer.
    - Bei den FX wird der Code berechnet, zumindest ist er berechenbar. Dazu wollten die Codeknacker anfangs noch einen Dump haben, aber nicht vom EEPROM (da stehn beim FX nur belanglose Settings drin) sondern vom Flash des Mainboard (Spansion). Später dann reichte die Seriennummer aus.
    - Beim NX und MCA wirds da schon schwieriger mit dem errechnen aus der Seriennummer, was aber wohl eher an der Software liegt die diese "Codehändler" nutzen, weil einige es anbieten.


    Auffällig bei denen die Codes berechnen ist, das es immer heißt "try XXXX or YYYY", d.h. der Algo liefert potentiell mehrere Ergebnisse. Dabei ist es aber womöglich so, das nur eines davon funktioniert. Das könnte den Schluß nahe legen, das die Berechnung nur "außenrum" ist, also im Gerät trotzdem ein Code steht, dieser aber nicht willkürlich sondern berechnet ist. Dies könnte daher rühren, das die Autohändler sich nicht mehr riesige Code-Datenbanken vorhalten müssen, sondern anhand der Geräteseriennummer diesen mit einer Software errechnen lassen können.


    Unnötig kompliziert finde ich nur, das man zum ermitteln der Seriennummer die Geräte immer ausbauen muss. Auch im "Händlermenü" findet man die nicht. Warum nur? Damit der Händler auch noch Zusatzkosten fürs aus/einbauen nehmen kann? Nicht schlüssig für mich. Könnte natürlich sein das über die VIN die Seriennummer des Gerätes beim Auslieferungsstand abrufbar ist. Für die meisten Fahrzeuge funktioniert das dann auch.


    Ich denke ich habe alle Infos und Gerätschaften um das Flash auslesen zu können. Das sollte über einen Debug-Port der MPU (J-Tag) möglich sein, was den Vorteil bietet das die im Flash integrierten Schutzmechanismen nicht greifen. Sonst müsste man den Flash (BGA-Gehäuse) ausbauen und direkt betreiben. Das ist aber nicht so trivial wie bei einem EEPROM im SOIC Gehäuse.

  • Ich habe einen Weg gefunden die zur Ermittlung des PIN Codes notwendige Seriennummer des Gerätes zu ermitteln ohne dieses ausbauen zu müssen. Der Prozess ist noch nicht perfekt, aber funktioniert und könnte dem ein oder anderen durchaus ne Menge Arbeit ersparen...


    Diejenigen die Codes berechnen können benötigen die vollständige BOSCH Seriennummer des Gerätes. Diese ist auf dem seitlichen Aufkleber zu finden:

    Hier im Beispiel lautet sie: "881 C7E3A0536 8 8326084"


    Die gesamte Nummer besteht aus mehreren Teilen: 881 C7E3A0536 8 8326084

    Der grüne Teil entspricht den letzten Ziffern der BOSCH Teilnummer, hier im Beispiel die "7 612 300 536".

    Der gelbe Teil ist die eigentliche Seriennummer, also der Teil der sich bei jedem Radio der gleichen Art unterscheidet.

    Der blaue Teil entspricht dem Baujahr des Gerätes, der auf der oberen Label abgebildet ist:


    Wie bei den sonstigen Ford-Jahresangaben wird für 2010 dann der Buchstabe "A" verwendet und so ergibt sich diese Umsetzungstabelle:

    2007 => 7

    2008 => 8

    2009 => 9

    2010 => A

    2011 => B

    2012 => C

    2013 => D

    2014 => E


    Mittels ELMconfig und einem ELM327-Adapter mit Umschalter für MS-CAN lässt sich die Seriennummer (grüner Teil) und die Ford Teilenummer auslesen:


    Für mich noch etwas unklar ist der rote Bereich der Seriennummer, im Beispiel "881 C7E3A0". Dieser entspricht einem Typ und lässt sich über eine Tabelle rückwärts aus der Ford-Teilenummer ermitteln. Im obigen Beispiel ist die Ford Nummer "8S7T 18K931 BB". https://mk4-wiki.denkdose.de/artikel/nav_nx/teilenummern?s[]=8s7t&s[]=18k931&s[]=bb


    Ich überlege gerade wie ich einen Webdienst im Wiki integriere der nach Eingabe der beiden Infos aus dem ElmConfig die BOSCH Seriennummer ausspuckt, damit man damit einen PIN Code erzeugen kann. Hierzu ist besonders relevant die dahinter liegende Datenbank mit den Daten aus meinen Teilenummernlisten. Hier bin ich natürlich für weiteren Input dankbar :-)Vielleicht hat ja auch noch jemand eine Idee wie man den Rest der Ziffern ableiten kann...

  • Klasse!


    Wäre für mich sehr interessant, da keine Key-Code Karte beim Kauf des Fiesta meiner Frau dabei war.


    Der Verkäufer meinte aber auch es gab nie eine dazu.

    Oder kann es sein das gewisse Fahrzeugspezifischen Radios gar kein mehr brauchen!?

    Wer glaubt etwas zu sein, hat aufgehört etwas zu werden!...

  • Oder kann es sein das gewisse Fahrzeugspezifischen Radios gar kein mehr brauchen

    Genau so ist es. Bei neueren Fahrzeugen sind die radios sozusagen mit dem Wagen verheiratet so dass etwa beim wiederanklemmen der Batterie kein Code mehr benötigt wird.

    Vielleicht gehört euer Fiesta schon dazu.

    Der Fortschritt geschieht heute so schnell, daß, während jemand eine Sache für gänzlich undurchführbar erklärt, er von einem anderen unterbrochen wird, der sie schon realisiert hat.

  • Bei neueren Fahrzeugen sind die radios sozusagen mit dem Wagen verheiratet so dass etwa beim wiederanklemmen der Batterie kein Code mehr benötigt wird.

    Das gibts schon ewig, bei Opel zum Beispiel, da muss allerdings auch das Radio sollte es wo anders

    eingebaut werden erst mal "entheiratet" und dann mit dem neuen Auto wieder verheiratet werden.

    Gruß Tom :fahrenlenkrad:


    ____________________________________________________________
    Dieser Beitrag wurde bereits 1.694.000 mal editiert, zuletzt von »digdog« (Heute, 01:96)

  • Der Fiesta ist wie meiner 2008 Baujahr.


    Aber vom Vorbesitzer wissen wir dass die Batterie schon öfters mal ab war und kein Code abgefragt wurde.

    Wer glaubt etwas zu sein, hat aufgehört etwas zu werden!...