Sandero III ab 2021 MediaNav (Sandero III) hat offenen SSH und Telnet Port

[EpicLPer]

Servus,

ich hab mich gerade mal ein wenig mit meinem Laptop im WLAN des MediaNav beim Sandero Stepway III rumgespielt und dabei etwas interessantes entdeckt.
MediaNav (zumindest auf der Version 6.0.9.6) hat einmal einen offenen SSH und Telnet Port.

Das WLAN-Passwort von MediaNav kann man nach der Verbindung mit CarPlay (wahrscheinlich auch Android Auto) einfach in den Einstellungen anzeigen lassen, wenn man sich danach mit einem Notebook zum WLAN verbindet und auf der IP "192.168.49.1" in meinem Fall einen Port-Scan laufen lässt kommt folgendes Resultat:


SSH: Normaler Port 22
Telnet: Port 3490
Port 7000 weiß ich leider noch nicht was es sein könnte.

SSH Output:


Telnet Output:


Hier z.B. habe ich den Mute-Button bei der Lenkrad-Steuerung gedrückt und sehe hier das "muteState" Event:


Ich habe online dazu überhaupt nichts gefunden, daher erstelle ich mal diesen Post. SSH ist mit einem User und Passwort abgesichert welches ich noch nicht rausgefunden habe, bei Telnet kommen divese Debug-Outputs vom MediaNav daher. Die Formatierung ist allerdings etwas komisch über PuTTY, aber ich hab einiges an "Micom" und Audio spezifischen Logs sehen können, z.B. wenn man Stumm schaltet oder die Lautstärke verändert wird der Output plötzlich mehr.
Hoffentlich kann hier mit der Zeit mehr rausgfunden werden, mein Wissen hört hier leider schön langsam auf. Ich könnte testweise noch einen WireShark Trace erstellen, weiß aber nicht wie viel sich das bringen würde.

Falls hier jemand mehr darüber weiß bitte gerne melden!

UPDATE 1: Telnet spuckt auch hier und da mal Meldungen bzgl. CANBUS Read/Write aus, z.B. wenn man das Aktive Bremsen de-/aktiviert. Es könnte also sein, sofern man via SSH auf das Ding zugreifen kann, dass somit der CANBUS-Lock bzw. die "Firewall" (welche von Dacia in jedem modernen Auto eingebaut wird) umgehen kann.
Weiteres kommen auch Telnet-Meldungen wie z.B. dass man gerade die Handbremse aktiviert hat, welches Touch-Event gerade passiert etc. Ich habe auch kurz mal die Meldung "Airbag prüfen" am Dashboard gehabt welche nach ein paar Sekunden aber wieder verschwand, eventuell war hier kurz die Kommunikation zu MediaNav unterbrochen oder hat den CANBUS gestört bei meinen Debug-Log-Aufzeichnungen

 

[WebRuner]

Das klingt interessant!
Falls ein Eingabepromt erscheint, wäre das nächste so Sachen wie HELP oder LS zu probieren. Momentan sieht es ja eher nach Statusmeldungen aus.

 

[EpicLPer]

Das klingt interessant!
Falls ein Eingabepromt erscheint, wäre das nächste so Sachen wie HELP oder LS zu probieren. Momentan sieht es ja eher nach Statusmeldungen aus.

Soweit ich sehe erlaubt die Telnet-Session keine Eingaben, es kann aber sein dass PuTTY einfach nicht richtig eingestellt ist weil auch viele Sonderzeichen enthalten sind die so eigentlich nicht erscheinen sollten, "Control Characters".

Was noch interessant ist: Telnet spuckt auch falsche SSH Anmeldungen aus. Usernames wie "root" werden erkannt, bei falschen Usern wird "Login attempt for nonexistent user" angezeigt. Somit könnte man eventuell ein paar Usernamen durchgehen und schauen welche erkannt werden.

Bisher wird nur root akzeptiert, bei Usernamen wie "micom", "dacia", "renault" wird aber der Text oben ausgegeben.

 

[Faultier]

root / root - der Klassiker :-D
Zur Not mal ein Bruteforce gönnen haha
Ne, Spaß beiseite, Thema interessiert mich, ich drück die Daumen, toi toi toi

 

[EpicLPer]

root / root - der Klassiker :-D
Zur Not mal ein Bruteforce gönnen haha
Ne, Spaß beiseite, Thema interessiert mich, ich drück die Daumen, toi toi toi

Was denkst war mein erster Versuch Leider aber nicht richtig.
Es wäre interessant einen Flash-Dump vom MediaNav zu bekommen um dort dann den passwd-Hash zu haben, mit dem könnte man viel effizienter und schneller Bruteforcen.

 

[Faultier]

Bekommst du beim "booten" mit telnet noch irgendwelche Infos, die dir weiter helfen? Ich meine ein PW reset würde ich mich nicht trauen, nicht dass danach irgendwas nicht mehr geht.

 

[EpicLPer]

Bekommst du beim "booten" mit telnet noch irgendwelche Infos, die dir weiter helfen? Ich meine ein PW reset würde ich mich nicht trauen, nicht dass danach irgendwas nicht mehr geht.

So schnell kann ich mich leider nicht verbinden dass ich hier von Anfang an alle Logs sehen würde, aber ich sehe zumindest wie alle Kontakte/Favoriten vom Smartphone importiert bzw. durchsucht/gecached werden. Dort stehen alle Namen, Nummern etc. dann im Klartext im Log.

 

[dokkeri]

Port 7000 weiß ich leider noch nicht was es sein könnte.

Das könnte allenfalls mit Apple Car Play zu tun haben.

 

[juppin]

Es wäre interessant einen Flash-Dump vom MediaNav zu bekommen um dort dann den passwd-Hash zu haben

Eine Updatedatei "update.lgu" sollte hier doch alles enthalten.
Die Frage ist eher ob alle Geräte das gleiche Passwort haben oder wie so oft eines auf Seriennummer, MAC-Adresse oder anderer gerätespezifischer Eigenschaft basiertes Passwort...
Eventuell könnte in einer Updatedatei auch ein selbstdefinierter Passworthash für root hinterlegt werden.
Das wäre dann wohl eines der ersten Custom-ROMs fürs MediaNAV. :-D

 

[EpicLPer]

Eine Updatedatei "update.lgu" sollte hier doch alles enthalten.
Die Frage ist eher ob alle Geräte das gleiche Passwort haben oder wie so oft eines auf Seriennummer, MAC-Adresse oder anderer gerätespezifischer Eigenschaft basiertes Passwort...
Eventuell könnte in einer Updatedatei auch ein selbstdefinierter Passworthash für root hinterlegt werden.
Das wäre dann wohl eines der ersten Custom-ROMs fürs MediaNAV. :-D

Das klingt interessant und daran hab ich noch gar nicht gedacht. Aber ich hab die sogar schon mal geöffnet

Ich glaub aber nicht das modifizieren direkt möglich ist, diese Update Dateien sind fast immer signiert und den Schlüssel dazu hat nur Renault/Dacia bzw. "Micom" oder wie die Firma dahinter heißt. Aber den Hash kann man sich sicher raussuchen, ich schätze nicht dass da aktiv das Root Passwort geändert werden würde.

 

[Hawcline]

Das WLAN-Passwort von MediaNav

Moin,

WLAN Passwort findest Du bei WIFI Setting wenn Du ins Micom-Menu möchtest.

Wenn Du die Version 0.9.6 haben solltest nimm mal das Root Passwort wie auf dem Bild.


ich geh immer mit dem WinSCP rein.
Wenn Du im WinSCP eingeloggt bist, dann einmal im Putty das Root Passwort eingeben und nacheinander dies.

mount -o remount,rw /
passwd -d root
sync
mount -o remount,ro /

Somit brauchst du beim Putty kein Root-Passwort mehr eingeben.
Bei einem Upgrade wird natürlich das Root-Passwort wieder gesetzt.
Falls die Frage kommt bei Firmware x.10.2, NEIN damit geht es nicht. (vielleicht sind andere Kollegen außer beim Downgrade weiter.) mir reicht erstmal die x.9.9

Gruß
Hawci

 

[EpicLPer]

Moin,

WLAN Passwort findest Du bei WIFI Setting wenn Du ins Micom-Menu möchtest.

Wenn Du die Version 0.9.6 haben solltest nimm mal das Root Passwort wie auf dem Bild.
Anhang anzeigen 142284
Anhang anzeigen 142285
ich geh immer mit dem WinSCP rein.
Wenn Du im WinSCP eingeloggt bist, dann einmal im Putty das Root Passwort eingeben und nacheinander dies.

mount -o remount,rw /
passwd -d root
sync
mount -o remount,ro /

Somit brauchst du beim Putty kein Root-Passwort mehr eingeben.
Bei einem Upgrade wird natürlich das Root-Passwort wieder gesetzt.
Falls die Frage kommt bei Firmware x.10.2, NEIN damit geht es nicht. (vielleicht sind andere Kollegen außer beim Downgrade weiter.) mir reicht erstmal die x.9.9

Gruß
Hawci

Oh, das klingt sehr interessant! Wusste gar nicht dass es dafür sogar schon ein Tool gibt, also dürfte es sogar bekannt sein? Wo bekommt man das

Das Passwort möchte ich eher nicht ändern um nicht ungewollt das MediaNav zu bricken.

 

[EpicLPer]

Kurzes Update: Dank @Hawcline seinem Root Passwort konnte ich aufs System zugreifen und einen Custom Home-Screen hinterlegen
Auch WAV Dateien abspielen via "aplay" funktioniert, wie man Videos direkt abspielt hab ich leider noch nicht rausgefunden.

Witzig ist auch dass für die Boot-Animation alle Befehle für ffmpeg in einer readme stehen, konvertieren sollte also überhaupt kein Problem sein! Muss mich aber noch mehr rumspielen, will keinen Fehler machen und ungewollt das komplette System bricken ^^

 

[Faultier]

Mega. Hintergrund würde ich auch sofort wechseln. Mal gucken wann ich dazu komme. Weißt du noch den Pfad der Homescreen-Datei?

 

[EpicLPer]

Mega. Hintergrund würde ich auch sofort wechseln. Mal gucken wann ich dazu komme. Weißt du noch den Pfad der Homescreen-Datei?

Der Pfad war "/app/share/com.lge.bavn.homescreen/img/"
Dort gibt es mehrere Unterordner, je nachdem welches Design du ausgewählt hast. Bei einigen Designs sind keine Hintergründe dabei, daher müsstest du wahrscheinlich zuerst mit dem MiCom Testmenü das Design ändern.
Es kann sein dass man auch bei Designs die eigentlich keinen Hintergrund haben welche hinzufügen kann sobald die Datei existiert, hab ich aber nicht getestet. Ersteres wäre daher einfacher

Beim Bearbeiten aber aufpassen dass du eine kompatible PNG Datei generierst, ich hab z.B. bei GIMP alle Optionen deaktiviert beim Exportieren wie EXIF usw., ich weiß auch nicht wie das MediaNav auf eventuell falsch formatierte Bilder reagiert. Es bleibt immer die Möglichkeit dass das Ding nicht mehr bootet und dadurch "gebrickt" ist, daher ist Vorsicht geboten!