エアバッグECUのアズビルト攻略（世界初？）

エアバッグのメーカー出荷設定の謎に迫る！？

アズビルト再設定の手法を確立しました。

berumiyaラボの検証ネタでもかなりコアノウハウになり、詳細はヒミツ

読み物的なミニレポです。

Successfully modified the RCM As-built arbitrarily, for Mazda 6th Gen all vehicles!

アズビルトって何？

アズビルト・コンフィグ変更 (FORScan)
https://minkara.carview.co.jp/userid/615186/car/3285399/7182354/note.aspx

「アズビルト」＝工場出荷時のECUコンフィグ設定値をまとめた文字列

ここを書き換えると新車未装着の装備を装着設定にしたり、付いてる装備を未装着の設定にしたりできます。
「コーディング変更」などとも言われますね。

エアバッグECUの攻略って？

通常の他のユニットのアズビルト(メーター、BCM、前方カメラ等)は
好きな部分を変更して設定書き込ができ、任意の設定を受け入れてくれます。

ところがエアバッグECU (RCM) のアズビルトはそうなっていません。
簡易プロテクトが掛かっていて、変更を弾いてしまうんです。

今回そのプロテクトを攻略し、
マツダ第６世代電装のエアバッグECUにて
アズビルト任意書き換え変更ができるようになったよ！
という話です。

それって何が嬉しいの？

アズビルトの中身・意味の分析を始められます！

具体的に何ができるかは…その先の分析次第。
たとえばGJアテンザ・Mazda6にて、アクティブボンネットを非装備に書き換えできることが分かっています！


今回のプロテクト突破、マツダ解析勢では誰も成功してないんじゃなかな。
少なくとも日本でお付き合いのある解析勢同士では成功例を見てないです。
SergSlim さんの例のExcelでもRCMシートは全アドレスがunknownなので、
おそらく海外フォーラムでも未突破領域？？

もし自分が世界初だったら、それも嬉しいことです。

解析ダイジェスト①

まずは電装ベンチを製作し、FORScanでエアバッグECUと通信できる状態にします。

990S電装検証ベンチの構築
https://minkara.carview.co.jp/userid/615186/car/3285399/7992860/note.aspx

フルユニット一揃いのベンチでなくても良いですが、
最低限FORScanからエアバッグECUは認識できる必要があります。

実験中にガンガン異常コード出しまくります。
壊れても構わないジャンクユニットを使い、電源とCANだけを接続します。

健全な実車でやるのはやめたほうが良いでしょう
展開可能な本物のエアバッグが繋がったまま変な実験するの怖いでしょ

At first, establish safe environment for analyze.
Don't do this on actual vehicle.

解析ダイジェスト②

世界各国の仕向別・年式別・グレード別に一通りの車台番号(VIN)を把握し、
エアバッグECUのアズビルトの違いを見比べます。

NDアズビルト千本ノック 完結編（読み物）
https://minkara.carview.co.jp/userid/615186/car/3285399/8092243/note.aspx


Next I collected all As-built of all regions, MY(2015-2023 ND1/2), shipment config.

解析ダイジェスト③

CAN解析ツールを立ち上げ、
FORScanでエアバッグECUのアズビルト書き換えにトライ
通信内容を解析し、どこで何が引っかかっているかを把握します

神ツール Savvycan でかんたんCAN分析！
https://minkara.carview.co.jp/userid/615186/car/3285399/8040505/note.aspx

※この画像は適当です

読み解きのヒント
ISO11898 Controller area network (CAN)
ISO14229 Unified Diagnostic Services (UDS)
→ UDS 0x27 Security Access
こういった公開規格が一通り頭に入っているとよいでしょう。

Next check the CAN bus activity by using CAN analyzer.
Then find the critical area of authentication key exchange.

解析ダイジェスト④

CANの通信内容をじっくり解析し
プロテクト対象のエリア、生成すべき鍵の概要を掴みまして
あとは入出力をみたすような鍵生成ロジックを推測します。

ユニットサプライヤは天下のボッシュ様だしなぁ
などという裏読みも交え…

ND BOSCHユニットの鍵生成ロジックを確定できました！

GJ Autolivユニットも同様にロジック確定。

マツダ第６世代は他にサプライヤないと思いますんで、
全車種エアバッグECUのアズビルト突破完了で良いんじゃないでしょうか。


今回の突破はノーヒントで取り組みましたが、
berumiya 990S ラボ ２年半の集大成、全ノウハウ投入の総力戦になりました。

ズルなしヒントなし　真正面から理詰めで突破
いやー清々しい気分です！

Deep dive into CAN data…
Finally I got the key gen algorithm for both BOSCH and Autoliv.

以上です！

今回はエアバッグECUのアズビルトプロテクト突破・再設定の手法確立でした。

手法を確立しちゃえば任意書き換えが自由自在。
ここからアズビルトの中身・意味の分析に進めるわけです。
詳しくは次回以降の記事にて！

ではでは～

謝辞

チャッキーさん、るしさん
GJアテンザ後期のエアバッグECU(GBFT, Autoliv製)をご提供頂きました。
アクティブボンネット展開判定が出ているジャンク品
車両自体は軽損傷で、綺麗に直って今も元気に走っている様で何よりです。
ありがとうございます！

中古ユニットの搭載車両の元オーナー様
N243 BOSCH製：NDERC-101528 (ロードスターRF)
K131 BOSCH製：KG5P-xxxxxx (CX-8) ※執筆時点で取り寄せ中
この２台のECUは乗員保護エアバッグのクラッシュ判定が出ている廃車発生品。
最後に乗員を守る使命を果たしたECUは、解析用として役立ちます。
感謝申し上げます！