1543222 дек 2025 в 05:47

Раз, два, три — ёлочка, ГОРИ

Средний

13 мин

17K

Блог компании Positive TechnologiesИнформационная безопасность * Схемотехника * Реверс-инжиниринг * Умный дом

Кейс

+77

Комментарии 40

shadrap 22 дек 2025 в 06:35

я правильно понимаю что для получения уязвимости нужно не только "подойти к елочке" но и подпаяться к уарту на есп32?

15432 22 дек 2025 в 06:55

Не, только подойти и нажать кнопку для включения режима конфигурации. Дальше всё общение по BLE

shadrap 22 дек 2025 в 07:12

но только гирляндой через UDP ? что бы получить пароль от wifi этого же не достаточно ?

15432 22 дек 2025 в 07:14

В статье полный код для отправки payload и вычитывания паролей привёл, это всё по BLE через уязвимость в blufi

EmCreatore 22 дек 2025 в 09:47

Вместо того чтобы ковырять этот несчастный ESP лучше бы расковыряли протокол обмена с лампочками , вот это было бы интересно. Там же их тысячи, а работают удивительно синхронно.

15432 22 дек 2025 в 10:12

Там то как раз никаких тайн, стандартное проталкивание бит по 1-wire, а синхронность достигается за счёт того, что применение происходит одномоментно после паузы передачи

SukhovPro 22 дек 2025 в 10:25

Судя по фото с питанием от линии данных, что бы не тянуть третий провод.

EmCreatore 22 дек 2025 в 10:30

Ну, ну. Расскажите мне про 1-wire.
Если бы там была 1-Wire, они бы секундами из одного состояния в другое переходили.

15432 22 дек 2025 в 11:08

Предположу, что некий проприетарный однопроводной протокол на высокой частоте. Можно подключить осциллограф, анализатор, научиться управлять лампочками. Но зачем?

EmCreatore 22 дек 2025 в 13:23

Ну вот и стоило было им заниматься.
Конечно протокол проприетарный.
И там адресация и маршрутизация, и механизмы масштабирования, и механизмы изоляции сбойных узлов и т.д. и т.п.
Эт не BLE ломать.
Свою платку сделать и уже хакать по полной гирлянду, не волнуясь какие там софтовые заплатки сделает производитель.

Одно дело защитить от хаков какого-то производителя , он и так деньги хорошие делает.
И другое дело дать народу проверенную технологию двухпроводного полевого протокола.

15432 22 дек 2025 в 13:31

Это уже пиратство железа какое-то, а не исследование безопасности устройств

nixtonixto 22 дек 2025 в 11:33

Там скорее всего WS2811.

VirtualVoid 22 дек 2025 в 12:03

Как по мне, на фото виден типичный ws2811 (или аналог) на каждом rgb-светодиоде с daisy-chain включением. В зависимости от FPS можно вполне можно синхронно управлять 1000 и может быть даже 2000 светодиодов.

atd 22 дек 2025 в 10:52

1-wire это вполне определённый патентованный протокол DS. Там тоже передача по одному проводу, но протокол другой. Есть ещё лампочки с 4-мя проводами, там вполне православный SPI

serafims 22 дек 2025 в 13:07

Обычная адресная гирлянда. Есть чипы-драйверы для светодиодов WS2811 или как-то так, к нему можно прицепить светодиод или иное исполнительное устройство и управлять его работой.

tklim 22 дек 2025 в 17:14

Ws2811 по двум проводам? У меня есть подобная гирлянда, там тоже 2 провода, последовательно-параллельно подключено, 24в. Когда купил года 4-5 назад, смотрел осциллографом со стандартными протоколами не совпадало.

И тоже довольно четко работало и адресность, вроде как, до отдельного диода. Так что разберу после НГ. Все равно уже не живая, кому-то из соседей мешала, видимо.

v-milenin 22 дек 2025 в 20:45

Обычно же так: +24В, земля, данные. При этом земля также играет роль для передачи. Т.е. минимум 3 провода. А у вас на адресной гирлянде всего 2?

tklim 22 дек 2025 в 23:38

Да, причем сами светодиоды непосредственно с двумя ногами, подключены что-то типа 10s10p, никаких дополнительных деталей на самой ленте

Theo_James 23 дек 2025 в 02:21

https://github.com/sparkfun/SparkFun_OWire_Arduino_Library?tab=readme-ov-file

tklim 23 дек 2025 в 22:01

Это - не то . Форм-фактор светододов совпадает только, а управление одновременно всеми.
Лтдловская же гирлянда с адресными двухпроводными.
Подключение, типа такого:

На выходе умеет всякое, например:

vvzvlad 24 дек 2025 в 07:18

расковыряли протокол обмена с лампочками , вот это было бы интересно. Там же их тысячи, а работают удивительно синхронно.

Там стандартные управляемые светодиоды, вы чего

tklim 24 дек 2025 в 08:18

https://www.avrfreaks.net/s/topic/a5C3l000000UcqEEAS/t163098

У меня нет именно twinkly но явно похожее. вот, выше фото из интернетов, подскажите, что это за такие стандартные светодиоды?

vvzvlad 24 дек 2025 в 08:24

WS2811 какой-нибудь. Есть корпусовка в виде микросхемы, есть прям рядом с кристаллами в светодиоде, может еще какие-то есть.

Их там куча — WS2811, WS2812, WS2813, WS2815, WS2818, но раз там три провода, и вряд ли 5в, подходит только первый

15432 24 дек 2025 в 08:53

Вот тут отреверсили протокол и говорят, что QED3110

tklim 24 дек 2025 в 11:11

Спасибо, довольно интересно. Но у меня, похоже, немного другие - всего два вывода, видимо программируются как-то иначе или на заводе.

vvzvlad 24 дек 2025 в 11:23

Ооо, какая прикольная штука, два проводника

S-trace 22 дек 2025 в 15:19

Только утром подруга из Питера прислала видео на котором несколько звёздочек на ёлке сменили принцип действия, а пожарные уже вовсю тушат. И тоже со словами "Ёлочка, не гори пожалуйста!".

Так что в статье ещё не худший вариант.

mark_ablov 3 янв в 11:22

Тоже собрал такую плату (как есть, без модификаций железа - благо гербер и бом есть, только gateware подправил), но увы руки у меня кривые и пока получилось только спалить ADC. Надо как-то вернуться к проекту раз есть ещё удачные примеры взлома.

15432 3 янв в 11:55

И без модификаций две штуки собрано, всё работает. Тоже изначально поправил прошивку, чтобы ADC на 48 МГц работал, очень хорошие результаты получил.

mark_ablov 3 янв в 13:26

С увеличенной частотой ацп получилось уменьшить число сэмплов? А то вымораживает ждать несколько часов пока 500-600к насобираю, чтоб обнаружить что получил ерунду)

15432 3 янв в 13:56

На обычном ESP32 со всеми моими оптимизациями хватает 40к семплов, которые собираются за минут 10-15) тоже было грустно набрать за 2 дня 2кк семплов и без толку

15432 3 янв в 13:58

Отдельная статья по этой теме позже будет

mark_ablov 3 янв в 18:09

Ну у первоисточника всё чётко разложено, разве что интересно про оптимизации почитать.

15432 3 янв в 18:10

Там будет и про то, что до этого никто не ломал. Ретроспектива и продолжение вот этого

mark_ablov 3 янв в 18:42

А, ну прикольно тогда. Я больше на S3 смотрю в качестве цели.

15432 3 янв в 18:44

S3 не вышло, глич на моих экземплярах не проканал. А вот S2 и H2 получилось

mark_ablov 3 янв в 22:05

Да, я пролистал слайды, интересно. Я прикидывал тот же глитч использовать как и Courk для c3/c6, но будем посмотреть после того, как найду время отладить систему)

15432 3 янв в 22:10

Я разные пробовал, похоже, что у него партия гличабельная попалась. Я и мосфетом, и GPIO их хреначил, вообще ни в какую. Но конкретно его плату не собирал

mark_ablov 3 янв в 22:13

Ну он S3 не тестил, только C3/C6, но я посмотрел бутромы - есть те же фрагменты кода, где можно создать успешный глитч и прыгнуть в контроллируемый участок (в теории, офк).

15432 3 янв в 22:26

Я тестил, у меня C3, как и S3 - вообще никак не гличились. А вот S2 и H2 прям отлично пошли. Вот С6 не проверял

Зарегистрируйтесь на Хабре, чтобы оставить комментарий