Как привязать брелок к сигнализации


Как привязать брелок к сигнализации: перепрораммирование

Как известно, основным и самым дорогим элементом современной автосигнализации является брелок. На деле, брелок современной сигнализации представляет собой радиопередатчик, который управляет блоком сигнализации в автомобиле. При этом «общаются» данные устройства за счет закодированного (зашифрованного) сигнала,  благодаря чему система взаимодействует только с теми брелками, которые прописаны в память блока.

При этом брелок по ряду причин может выйти из строя, возможны различные программные сбои, владелец хочет удалить старые брелки из памяти и т.д. В таком случае передатчик часто меняют на новый, однако без привязки к блоку другой брелок работать не будет, так как коды в сигналах не совпадут.

Для того чтобы восстановить функциональность, потребуется перепрограммировать брелок сигнализации. Другими словами, нужно знать, как привязать брелок к  сигнализации, то есть прописать его в память модуля, установленного в машине. Далее мы рассмотрим, как перепрограммировать сигнализацию, чтобы прописать новый брелок.

Содержание статьи

  • Зачем прописывать новые брелки сигнализации
  • Брелок сигнализации: программирование
  • Что в итоге

Зачем прописывать новые брелки сигнализации

Прежде всего, покупая подержанный авто с установленной сигнализацией, новый владелец из соображений безопасности должен в обязательном порядке удалить из памяти модуля (блока) все брелки, кроме тех, которые у него на руках. Если просто, никогда не следует исключать вероятность того, что недобросовестный продавец может оставить у себя брелок, которым можно затем открыть автомобиль в целях угона или совершения других противоправных действий.  

Также часто бывает, что владелец самостоятельно повредил или потерял брелок сигнализации. Само собой, не все меняют сигнализацию целиком, ограничиваясь приобретением нового брелка. В любом случае, нужно перепрограммирование брелка сигнализации, после чего только имеющиеся будут работать, а все остальные пульты будут деактивированы.  

Брелок сигнализации: программирование

Разобравшись с тем, для чего нужно перепрограммирование (перезапись) брелков, следует также отметить, что для каждой модели сигнализации идут свои брелки, то есть, брелок от другой сигнализации прописать не получится. Другими словами, если сигнализация Томагавк, тогда прописать брелок Томагавк (подходящие модели пультов) не составит труда, однако не получится прописать брелок Шериф, Старлайн и т.д.  

Также следует сделать акцент на том, что если уже имеется несколько брелков, но нужно прописать еще, программировать нужно будет все, даже те, которые уже работают. Причина — при перепрограммировании происходит удаление из памяти блока сигнализации всех записанных ранее брелков. Это значит, что без перезаписи ранее рабочие пульты не смогут взаимодействовать с блоком управления.

  • Что касается того, как прописать брелок Старлайн, Шериф, Томагавк и т.д.,  важно понимать, что каждый производитель предлагает свои алгоритмы, однако в целом действия похожи.   Если изучить мануалы к разным сигнализациям,  при перепрограммировании  обычно нужно взаимодействовать с кнопкой Valet или Overread.

Фактически, такая кнопка является скрытым выключателем, который прячется в автомобиле (обычно в скрытом и  труднодоступном месте). Часто ее устанавливают в блоке предохранителей в салоне, прячут под панелью приборов, под рулевой колонкой, в бардачке, под съемными заглушками и т.п.

Иногда бывает и так, что система может и вовсе не иметь такой кнопки. В этом случае ее функцию выполняет замок зажигания. Как правило, все современные охранные комплексы все же оснащены сервисной кнопкой, так что подробнее остановимся на ней.

Обнаружив кнопку, через нее следует перевести сигнализацию в сервисный режим, который называется valet mode. Это режим, который позволяет обслуживать сигнализацию, включать и отключать ее в принудительном порядке, а также программировать сигнализацию, в том числе и прописывать брелки.

Чтобы войти в этот режим, должна быть использована специальная комбинация нажатий на кнопку (аналогично защитному коду). Такая защита нужна, чтобы  ограничить для посторонних возможность доступа к  режиму valet mode. Если код когда-либо был задан, пока правильно его не ввести, доступ к функции программирования будет недоступен. 

Как правило, в мануале есть стандартный код по умолчанию. Если его не меняли, тогда проблем не возникнет. Если же стандартный код не подходит, необходима помощь профессионалов. В любом случае, войдя в режим  valet mode, по очереди можно программировать каждый брелок, однако всего можно прописать до 4 пультов.

Для примера, если рассмотреть мануалы к разным популярным сигнализациям, можно для простоты условно обозначить кнопки брелка цифрами 1 (закрыть и поставить на охрану), 2 (открыть и снять с охраны), канал программируемый 3, канал программируемый 4, кнопка управления сигналами пульта 5.

Так вот, перед началом перезаписи важно учитывать, что каждая операция должна быть выполнена через 5 секунд после выполнения предыдущей. В случае, когда такой интервал не выдерживается, система автоматически выходит из режима настройки сигнализации.

Если выключить зажигание, также система выйдет из сервисного режима. На то, что программирование завершено, укажут звуковые сигналы сирены  (1 короткий, после 1 долгий звук).

Итак, в общих чертах:

  • Чтобы начать перезапись, следует снять автомобиль с охраны, вставить ключ в замок зажигания.
  • Далее в салоне нажать кнопку Valet (на разных моделях код может отличаться, например, нажать нужно 3 раза).
  • Сигнал сирены должен подтвердить, что блок управления находится в режиме программирования брелков.
  • Далее на брелке следует зажать кнопку 1 и ждать, пока система звуковым сигналом не уведомит о том, что брелок прописан (программирование выполнено).
  • Затем следует повторить процедуру для записи остальных брелков.
  • По окончании следует выйти из сервисного режима Valet, выключить зажигание или выждать 5 сек.

Обратите внимание, на некоторых моделях сигнализации может требоваться сначала ввод кода через кнопку Valet, после чего включается, выключается и снова включается зажигание.

Далее кнопкой Валет вводится первая цифра кода, после чего зажигание выключается и включается. Для второй цифры действия аналогичны. Если код введен успешно, в таком случае система оповещает об этом при помощи звукового сигнала.

После этого на кнопку нужно нажать 3 раза, что позволит войти в сервисный режим. Также последует звуковое оповещение о входе в такой режим.  Еще бывает так, что кнопку Valet  просто нужно удерживать нажатой несколько секунд для входа в сервисный режим, нажимать 6 или 7 раз и т.д. 

Рекомендуем также прочитать статью о том, что делать если сигнализация блокирует запуск двигателя. Из этой статьи вы узнаете, как завести мотор, если по той или иной причине запуск двигателя случайно заблокирован, произошел сбой и т.д.

  • Сам процесс записи брелков зачастую не отличается на разных моделях, однако бывает так, что войдя в сервисный режим записи пультов нужно удерживать одновременно две кнопки (например, открытия багажника и управления звуком брелка).

Удерживать кнопки нужно до момента, пока сирена не начнет выдавать звуковое подтверждение (один сигнал для брелка 1, соответственно, 2 сигнала для брелка 2 и т.д.).

Если в течение 5-10  или 15 секунд не нажимать на кнопки брелка и не посылать на блок команд,  система автоматически выйдет из режима настроек сигнализации.  Параллельно нужно помнить, что брелки, которые не были записаны, будут также автоматически удалены из памяти.

Однако в некоторых случаях  запись брелков может быть более сложной процедурой, чем рассмотрено выше. Например, если сигнализация Старлайн А91, прописать брелок сигнализации StarLine можно следующим образом: снять машину с охраны, нажать кнопку Valet семь раз, включить зажигание, дождаться 7 сигналов сирены, а также подсвечивания брелка.

Далее, чтобы для Старлайн А91 прописать брелок, следует зажать одновременно кнопки 1 и 2 на брелке, после чего один звуковой сигнал сирены уведомит о том, что брелок записан в память блока управления сигнализацией.

Запись следующих брелков также будет подтверждаться соответствующим количеством звуковых сигналов.  Если не подавать больше никаких команд, через 10 секунд система сама выйдет из режима настроек, (поворотники замигают  5 раз).

Что в итоге

Как видно,  необходимость запрограммировать брелок сигнализации может возникать по разным причинам (в целях безопасности, при замене брелка и т.д.). При этом важно понимать, что незапрограммированные брелки не будут работать с блоком управления.

Другими словами, программирование брелков позволяет удалить из памяти блока сигнализации другие  ранее записанные брелки, что особенно удобно, если приобретается подержанный автомобиль или машина уже идет с установленной сигнализацией.

Также знание того, как перепрограммировать брелок, в ряде случаев позволяет вернуть работоспособность системы в случае  неожиданных сбоев (например, потеря связи брелка с блоком управления).

Рекомендуем также прочитать статью о том, как настроить автозапуск сигнализации Старлайн. Из этой статьи вы узнаете об особенностях настройки автозапуска на данной сигнализации, а также на какие тонкости и нюансы следует обратить внимание при настройке автозапуска двигателя.

Еще умение работать с сервисным режимом и знание того, где находится кнопка Valet в машине, позволяет принудительно отключить сигнализацию и удалить брелки из памяти в том случае, если брелок неисправен, был украден или утерян и т.п.

Напоследок отметим, что перед началом  тех или иных действий с сигнализацией, необходимо иметь под рукой мануал, а также изучить его. Еще, меняя коды для входа в сервисный режим или перезаписывая брелки, старые коды и пульты будут удалены.

Так что, следует в обязательном порядке учитывать рассмотренные выше особенности и нюансы, если планируется выполнять какие-либо действия в сервисном режиме Valet Mode (активация функций, отключение сигнализации, настройка режимов, перепрограммирование брелков и т. п.). 

Как привязать брелок к сигнализации: варианты, можно ли новый?

Содержание статьи:

  1. Устройство и принцип работы
  2. Восстанавливаем сигнал своими руками
  3. Что это за кнопка такая Valet
  4. План поиска «Вальта»
  5. Заключение

И снова здравствуйте!  В современном мире автомобильная сигнализация – это залог безопасности любого транспортного средства! Сегодня, такие системы по карману практически любому автолюбителю не зависимо от его достатка и это здорово! Ведь даже старая классика, нередко привлекает внимание злоумышленников. ДУ-пульт – единственное средство управление сигнализацией и случается так, что он отказывается работать. Не нужно паниковать скорее всего, произошел обрыв связи между элементами системы. Виной тому может быть произвольное нажатие кнопок, например, ребенком. Строго наказывать любимое чадо не стоит, ведь решается вопрос очень просто, о том, как привязать брелок к сигнализации, я и расскажу в данной публикации.

Содержание

  • Устройство и принцип работы
  • Восстанавливаем сигнал своими руками
  • Что это за кнопка такая Valet
  • План поиска «Вальта»
  • Заключение

Устройство и принцип работы

Как и всегда прежде чем перейти к практике, полезно будет узнать немного теории, уж поверьте в деле она не редко выручает. Итак, устройство стандартной сигнализации, выглядит примерно так:

  • Основной блок;
  • Антенна приемо-передатчика;
  • Брелок;
  • Датчик удара;
  • Светодиодный индикатор;
  • Сервисная кнопка.

Раньше подобные системы работали по принципу статического кода, то есть существовал один постоянный шифр, которым брелок обменивался с антенной передатчика. Естественно, он был слишком уязвим, поэтому спустя время специалисты внедрили динамический код. Конечно, взломать можно и его, но сделать это гораздо сложнее.

Еще более запутать угонщика может сигнализация, функционирующая по диалоговому принципу. Чтобы деактивировать систему, после нажатия вами клавиши, брелок посылает определенную информацию в базовый блок (в основном это ID номер самого пульта).

Удостоверившись в подлинности брелка, от блока следует обратный сигнал-шифр, который разумеется формируется динамическим образом. И только после этого, брелок отдает непосредственно саму команду, а основной блок ее выполняет. Разумеется, взломать такую систему под силу только профи, вне сомнения — это лучшая сигнализация для автомобиля.

В первую очередь вы должны понимать: отвязаться может абсолютно любой пульт, цена установки при этом не играет никакой роли. Сама по себе привязка брелка к сигнализации, процесс до безобразия простой. Выглядит он следующим образом:

  1. В первую очередь необходимо сесть в салон и плотно закрыть двери.
  2. Далее, активируйте зажигание в первом его положении.
  3. После, необходимо три раза подряд нажать на кнопку «Валет». Система должна пропищать три раза.

Обратите внимание: звук должен исходить не от брелка, как это обычно было, а от сирены.

  1. Спустя 5 секунд зажмите кнопку постановки на охрану до тех пор, пока сирена опять не пропищит.
  2. Проведите операцию также и для запасных брелков, иначе они останутся деактивированными.
  3. Если все сделано верно, по истечении 5 секунд вы услышите еще один сигнал, который и будет означать, что брелок к сигнализации привязан!

Не опускайте руки раньше времени, иногда желанный писк сирены удается услышать далеко не с первой попытки.

Данная инструкция также пригодится тем, кто только собирается обзавестись транспортным средством. Купив машину с рук, вы не можете быть уверены в том, что бывший хозяин отдал вам все брелки. Знаете, как говорят «Береженого бог бережет», лучше перепрограммировать систему, мало ли чего у него там на уме.

Что это за кнопка такая Valet

Абсолютно к любой системе, будь то автомобильная сигнализация «Аллигатор» или любая другая модель, должна идти инструкция. В которой, помимо кучи лишней информации обязательно должно быть описано, как привязать брелок. Скажу вам сразу, чтобы там не было нарисовано, особых отличий от вышеописанного метода не будет, а упирается все исключительно в кнопку «Валет». Нет, это совсем не игральная карта, скорее – своеобразный выключатель или reset если хотите. Отыскать эту кнопку, иногда оказывается ой как не просто.

Главное, что нужно понимать – она всегда находится в салоне! Пристальнее смотреть нужно под панелью приборов, рулевой колонкой, около блока управления сигнализацией и даже в бардачке. Также стоит осмотреть все возможные карманы и заглушки, не сомневаюсь, вам удастся ее отыскать!  В обратном случае, не стоит расстраиваться, быть может кнопки просто нет в вашей системе, тогда ее роль выполняет замок зажигания.

План поиска «Вальта»

По всему периметру салона, нас интересует исключительно три зоны, где может находится злополучная кнопка.

  • Зона №1 – под рулевой колонкой. Не стесняйтесь, кроме визуального осмотра попробуйте нащупать ее.
  • Зона №2 – за пепельницей или кармашком центральной консоли. Тут лучше руками особо не работать, ограничьтесь глазами.
  • Зона №3 – под бардачком. Смотрите и трогайте)!

Не найдя Valet в этих зонах, загляните за лючок предохранителей, кнопка может находится и там. Самое главное – не нервничайте! Знаю, когда мы привязываем, сигналка то и дело пищит, это жутко выводит из себя, но, чтобы добиться успеха нужно сохранять самообладание!

Заключение

Частенько мне доводится слышать вопрос типа, а можно ли привязать брелок другой фирмы к моей сигнализации. Постараюсь коротко вам ответить друзья. Разумеется, все возможно на свете, но зачастую это «дохлый номер». В первую очередь нужно учитывать тип системы: статическая, динамическая или диалоговая. Также не маловажную роль играет рабочий диапазон частот. Лишь в том случае, когда тип передачи сигнала и частота вашего брелка совпадает с «чужаком», возможен успех. Однако, как вы сами понимаете, никаких гарантий нет.

Короче говоря, нюансов много и разобраться не так-то и просто, легче купить новый. Слава богу в интернете можно найти брелок практически на любую модель сигнализации. Надеюсь вам удалось перепрограммировать брелок и сигнализация снова функционирует, как в лучшие времена. Соответственно при таком раскладе я оказался полезным и это радует! На этом все, до свидания!

Внутренняя сигнализация SimpliSafe. Автор: Ник Майлз, соавтор: Крис… | Николас Майлз | Tenable TechBlog

Автор: Ник Майлз, соавтор: Крис Лайн

В моем последнем блоге («Внутри Amazon’s Ring Alarm System») я глубоко погрузился в систему Amazon Ring Alarm. В этом блоге я сделаю то же самое с популярным конкурирующим продуктом — SimpliSafe. В 2016 году компания IOActive, занимающаяся информационной безопасностью, опубликовала сведения¹ о том, как PIN-код, отправленный с клавиатуры на базовую станцию, может быть перехвачен по радиоканалу с помощью программно-определяемой радиосвязи (SDR) и использован злоумышленником для снятия системы с охраны. Система сигнализации нового поколения SimpliSafe, SS3, использует запатентованную технологию шифрования для предотвращения этой атаки. В блоге мы рассмотрим новое оборудование и то, как в нем реализовано шифрование.

Базовая станция

Ниже показана материнская плата базовой станции с микроконтроллером PIC (PIC32MX170F512L¹¹), флэш-памятью (Winbond 25q64jvsiq) и микросхемой аудиоусилителя (для сирены).

Печатная плата базовой станции SimpliSafe SS3

Вот другая сторона платы с разъемом питания USB. Красный и черный провода подключаются к аккумуляторной батарее 6 В (4 элемента типа АА), которая обеспечивает резервное питание.

Задняя сторона платы базовой станции (красный и черный обрезанные провода идут к блоку резервного питания)

Вот модуль сотовой радиосвязи от Telit:

Резервная плата сотовой радиосвязи (на случай, если пропадет интернет!)

И, наконец, плата радио, которая содержит ESP32, который обрабатывает Wi-Fi и Bluetooth Low Energy (BLE), и радиомикросхема общего назначения с частотой до 1 ГГц (Texas Instruments CC1121) для связи с датчиками:

Радиоплата сбоку с RF-чипом для датчика с частотой до 1 ГГц commsESP32 для Wi-Fi/BLE с другой стороны платы радиосвязи

Датчики

Оба в детекторах входа и движения используется маломощный PIC MCU (PIC12LF1572) в тандеме с микросхемой только для передатчика с частотой менее 1 ГГц (SX1243). Они питаются от 3-вольтовой батареи CR2032, что делает их производство очень недорогим. Вот фото датчика входа:

Датчик входа (обратите внимание на геркон наверху, который переключается с помощью магнита) Противоположная сторона датчика входа, где находится батарея CRC2032.

Клавиатура

Клавиатура очень похожа на базовую станцию. Он использует микроконтроллер PIC и ту же ИС радиоприемопередатчика, что и базовая станция (CC1121). Ниже приведены внутренние изображения клавиатуры и маркированное изображение интерфейса программирования.

Плата основной клавиатуры с микроконтроллером PIC и радиочипомПлата купольного переключателя для клавиатуры Интерфейсы программирования для клавиатуры

Радиосвязь на частоте ниже 1 ГГц

Клавиатура и базовая станция имеют микросхемы приемопередатчика на частоте ниже 1 ГГц (CC1121). Датчики имеют микросхемы передатчика. Первое, что я сделал, это нашел способ подключиться к связи между микроконтроллером PIC и микросхемой радиосвязи CC1121 на базовой станции, чтобы я мог контролировать ее с помощью логического анализатора. CC1121 предоставляет контакты SPI (последовательный периферийный интерфейс¹²) для управления. Мы проследили 4 контакта (SCLK [последовательные часы], SO [последовательный выход], SI [последовательный вход] и CS [выбор микросхемы]) на CC1121 до контрольных точек на плате, к которым можно было легко припаять выводы по порядку. подключить логический анализатор.

Сопоставление соединения РЧ-модуляЛогический анализатор подключен к радиоплате

Используя логический анализатор Saleae, я смог декодировать необработанные последовательные входные и выходные байты, передаваемые между чипами:

SPI Data to Sub 1Ghz Radio ChipSPI Decoding

Чтобы понять, что байты делают, вы должны копаться в различных труднодоступных таблицах данных. Вот лучший, который я нашел для нашего радиочипа: https://www.ti.com/lit/ug/swru295e/swru295e.pdf¹⁷. В конце концов я написал декодер, который обрабатывает файлы CSV, которые я могу вывести из логического анализатора (https://github.com/tenable/poc/blob/master/SimpliSafe/spi_decoder. py).

Вот выдержка из вывода:

 Заголовок для идентификатора пакета: 0 
Байт заголовка: 0xb0
Тип доступа: Чтение
Пакетный доступ: Ложь
Адрес: 0x30
Байт заголовка: 0xef
Тип доступа: Чтение
Пакетный доступ: True
Адрес: 0x2f
Расширенный регистр
чтение байт (0x33[XOSC4]) - 0x41 Заголовок для идентификатора пакета: 2
Байт заголовка: 0xb6
Тип доступа: Чтение
Пакетный Доступ: Ложь
Адрес: 0x36
Command Strobe — SIDLE — выход из режима RX/TX, выключение синтезатора частот и выход из режима eWOR, если применимо Заголовок для идентификатора пакета: 3
Байт заголовка: 0x40
Тип доступа: Запись
Пакетный доступ: True
Адрес: 0x00
Обычный регистр IOCFG3
записан байт (0x00) - 0x02

Этот дамп записывает инициализацию чипа после включения питания. Вы можете увидеть, как выполняется сброс, и инициализируются различные проблемы с конфигурацией. Вот снимок регистров после настройки:

Регулярные регистры

 +----------+-----------------+-----------+- --------+----------+ 
| Адрес | Имя | Шестнадцатеричное значение | Десятичный | Бинарный |
+=========+=================+===========+========= =+==========+
| 0x00 | IOCFG3 | 0x02 | 2 | 10 |
+---------+---+------------+-------- -+----------+
| 0x01 | IOCFG2 | 0x06 | 6 | 110 |
+---------+---+------------+-------- -+----------+
| 0x02 | IOCFG1 | 0xb0 | 176 | 10110000 |
+---------+---+------------+-------- -+----------+
| 0x03 | IOCFG0 | 0x40 | 64 | 1000000 |
+---------+---+------------+-------- -+----------+
| 0x04 | СИНХ3 | 0x93 | 147 | 10010011 |
+---------+---+------------+-------- -+----------+
| 0x05 | СИНХР2 | 0x0b | 11 | 1011 |
+---------+---+------------+-------- -+----------+
| 0x06 | СИНХР1 | 0x51 | 81 | 1010001 |
+---------+---+------------+-------- -+----------+
| 0x07 | СИНХ0 | 0xde | 222 | 11011110 |
+---------+---+------------+-------- -+----------+
| 0x08 | SYNC_CFG1 | 0x09 | 9 | 1001 |
+---------+---+------------+-------- -+----------+
| 0x09 | SYNC_CFG0 | 0x17 | 23 | 10111 |
+---------+---+------------+-------- -+----------+
| 0x0a | DEVIATION_M | 0xaa | 170 | 10101010 |
+---------+---+------------+-------- -+----------+
| 0x0b | MODCFG_DEV_E | 0x04 | 4 | 100 |
+---------+---+------------+-------- -+----------+
| 0x0c | DCFILT_CFG | 0x15 | 21 | 10101 |
+---------+---+------------+-------- -+----------+
| 0x0d | PREAMBLE_CFG1 | 0x18 | 24 | 11000 |
+---------+---+------------+-------- -+----------+
| 0x0e | PREAMBLE_CFG0 | 0x2а | 42 | 101010 |
+---------+---+------------+-------- -+----------+
| 0x0f | FREQ_IF_CFG | 0x3a | 58 | 111010 |
+---------+---+------------+-------- -+----------+
| 0x10 | ИКИК | 0x00 | 0 | 0 |
+---------+---+------------+-------- -+----------+
| 0x11 | CHAN_BW | 0x03 | 3 | 11 |
+---------+---+------------+-------- -+----------+
| 0x12 | МДМКФГ1 | 0x46 | 70 | 1000110 |
+---------+---+------------+-------- -+----------+
| 0x13 | MDMCFG0 | 0x05 | 5 | 101 |
+---------+---+------------+-------- -+----------+
| 0x14 | SYMBOL_RATE2 | 0x63 | 99 | 1100011 |
+---------+---+------------+-------- -+----------+
| 0x15 | SYMBOL_RATE1 | 0xa9 | 169 | 10101001 |
+---------+---+------------+-------- -+----------+
| 0x16 | SYMBOL_RATE0 | 0x2а | 42 | 101010 |
+---------+---+------------+-------- -+----------+
| 0x17 | AGC_REF | 0x3c | 60 | 111100 |
+---------+---+------------+-------- -+----------+
| 0x18 | AGC_CS_THR | 0xf8 | 248 | 11111000 |
+---------+---+------------+-------- -+----------+
| 0x19 | AGC_GAIN_ADJUST | 0x00 | 0 | 0 |
+---------+---+------------+-------- -+----------+
| 0x1a | AGC_CFG3 | 0x91 | 145 | 10010001 |
+---------+---+------------+-------- -+----------+
| 0x1b | AGC_CFG2 | 0x20 | 32 | 100000 |
+---------+---+------------+-------- -+----------+
| 0x1с | AGC_CFG1 | 0xa9 | 169 | 10101001 |
+---------+---+------------+-------- -+----------+
| 0x1d | AGC_CFG0 | 0xc0 | 192 | 11000000 |
+---------+---+------------+-------- -+----------+
| 0x1e | FIFO_CFG | 0x46 | 70 | 1000110 |
+---------+---+------------+-------- -+----------+
| 0x1f | DEV_ADDR | 0x00 | 0 | 0 |
+---------+---+------------+-------- -+----------+
| 0x20 | НАСТРОЙКА_CFG | 0x0b | 11 | 1011 |
+---------+---+------------+-------- -+----------+
| 0x21 | ФС_CFG | 0x14 | 20 | 10100 |
+---------+---+------------+-------- -+----------+
| 0x22 | WOR_CFG1 | 0x08 | 8 | 1000 |
+---------+---+------------+-------- -+----------+
| 0x23 | WOR_CFG0 | 0x21 | 33 | 100001 |
+---------+---+------------+-------- -+----------+
| 0x24 | WOR_EVENT0_MSB | 0x00 | 0 | 0 |
+---------+---+------------+-------- -+----------+
| 0x25 | WOR_EVENT0_LSB | 0x00 | 0 | 0 |
+---------+---+------------+-------- -+----------+
| 0x26 | ПКТ_CFG2 | 0x04 | 4 | 100 |
+---------+---+------------+-------- -+----------+
| 0x27 | ПКТ_CFG1 | 0x05 | 5 | 101 |
+---------+---+------------+-------- -+----------+
| 0x28 | ПКТ_CFG0 | 0x20 | 32 | 100000 |
+---------+---+------------+-------- -+----------+
| 0x29 | РФEND_CFG1 | 0x0f | 15 | 1111 |
+---------+---+------------+-------- -+----------+
| 0x2а | РФEND_CFG0 | 0x00 | 0 | 0 |
+---------+---+------------+-------- -+----------+
| 0x2b | PA_CFG2 | 0x34 | 52 | 110100 |
+---------+---+------------+-------- -+----------+
| 0x2с | PA_CFG1 | 0x56 | 86 | 1010110 |
+---------+---+------------+-------- -+----------+
| 0x2d | PA_CFG0 | 0x7e | 126 | 1111110 |
+---------+---+------------+-------- -+----------+
| 0x2e | ПКТ_LEN | 0xff | 255 | 11111111 |
+---------+---+------------+-------- -+----------+

Расширенные регистры

 +---------+----------------+- ----------+---------+----------+ 
| Адрес | Имя | Шестнадцатеричное значение | Десятичный | Бинарный |
+=========+================+===========+========= +==========+
| 0x00 | IF_MIX_CFG | 0x0 | 0 | 0 |
+---------+--+------------+--------- +----------+
| 0x01 | FREQOFF_CFG | 0x30 | 48 | 110000 |
+---------+--+------------+--------- +----------+
| 0x02 | ТОС_CFG | 0x4b | 75 | 1001011 |
+---------+--+------------+--------- +----------+
| 0x0a | ЧАСТОТАВЫКЛ1 | 0x0 | 0 | 0 |
+---------+--+------------+--------- +----------+
| 0x0b | ЧАСТОТАOFF0 | 0xde | 222 | 11011110 |
+---------+--+------------+--------- +----------+
| 0x0c | ЧАСТОТА2 | 0x6c | 108 | 1101100 |
+---------+--+------------+--------- +----------+
| 0x0d | ЧАСТОТА1 | 0x7a | 122 | 1111010 |
+---------+--+------------+--------- +----------+
| 0x0e | ЧАСТОТА0 | 0xe1 | 225 | 11100001 |
+---------+--+------------+--------- +----------+
| 0x91 | SERIAL_STATUS | | | |
+---------+--+------------+--------- +----------+
| 0x12 | FS_DIG1 | 0x0 | 0 | 0 |
+---------+--+------------+--------- +----------+
| 0x13 | ФС_DIG0 | 0x5f | 95 | 1011111 |
+---------+--+------------+--------- +----------+
| 0x14 | FS_CAL3 | | | |
+---------+--+------------+--------- +----------+
| 0x15 | FS_CAL2 | 0x20 | 32 | 100000 |
+---------+--+------------+--------- +----------+
| 0x16 | FS_CAL1 | 0x40 | 64 | 1000000 |
+---------+--+------------+--------- +----------+
| 0x17 | FS_CAL0 | 0xe | 14 | 1110 |
+---------+--+------------+--------- +----------+
| 0x18 | ФС_ТЭЦ | 0x28 | 40 | 101000 |
+---------+--+------------+--------- +----------+
| 0x19 | ФС_ДИВТВО | 0x3 | 3 | 11 |
+---------+--+------------+--------- +----------+
| 0x1b | ФС_DSM0 | 0x33 | 51 | 110011 |
+---------+--+------------+--------- +----------+
| 0x1d | ФС_DVC0 | 0x17 | 23 | 10111 |
+---------+--+------------+--------- +----------+
| 0x1f | FS_PFD | 0x50 | 80 | 1010000 |
+---------+--+------------+--------- +----------+
| 0x20 | ФС_ПРЕД | 0x6e | 110 | 1101110 |
+---------+--+------------+--------- +----------+
| 0x21 | FS_REG_DIV_CML | 0x14 | 20 | 10100 |
+---------+--+------------+--------- +----------+
| 0x22 | FS_SPARE | 0xac | 172 | 10101100 |
+---------+--+------------+--------- +----------+
| 0x23 | FS_VCO4 | 0x11 | 17 | 10001 |
+---------+--+------------+--------- +----------+
| 0x24 | FS_VCO3 | | | |
+---------+--+------------+--------- +----------+
| 0x25 | FS_VCO2 | 0x48 | 72 | 1001000 |
+---------+--+------------+--------- +----------+
| 0x26 | ФС_VCO1 | | | |
+---------+--+------------+--------- +----------+
| 0x27 | FS_VCO0 | 0xb4 | 180 | 10110100 |
+---------+--+------------+--------- +----------+
| 0x28 | ГБИАС6 | | | |
+---------+--+------------+--------- +----------+
| 0x29 | ГБИАС5 | | | |
+---------+--+------------+--------- +----------+
| 0x2а | ГБИАС4 | | | |
+---------+--+------------+--------- +----------+
| 0x2b | ГБИАС3 | | | |
+---------+--+------------+--------- +----------+
| 0x2с | ГБИАС2 | | | |
+---------+--+------------+--------- +----------+
| 0x2d | ГБИАС1 | | | |
+---------+--+------------+--------- +----------+
| 0x2e | ГБИАС0 | | | |
+---------+--+------------+--------- +----------+
| 0x2f | ИФАМП | | | |
+---------+--+------------+--------- +----------+
| 0x30 | ЛНА | | | |
+---------+--+------------+--------- +----------+
| 0x31 | РКСМИКС | | | |
+---------+--+------------+--------- +----------+
| 0x32 | XOSC5 | 0xe | 14 | 1110 |
+---------+--+------------+--------- +----------+
| 0x33 | XOSC4 | | | |
+---------+--+------------+--------- +----------+
| 0x34 | XOSC3 | | | |
+---------+--+------------+--------- +----------+
| 0x35 | XOSC2 | | | |
+---------+--+------------+--------- +----------+
| 0x36 | XOSC1 | 0x3 | 3 | 11 |
+---------+--+------------+--------- +----------+

После понимания этих параметров конфигурации теперь можно настроить программно-определяемое радио, такое как HackRF¹³ или YARD Stick One¹⁴, для приема и декодирования пакетов SimpliSafe.

Анализ трафика беспроводного датчика/клавиатуры

Используя YARD Stick One, rfcat¹⁵ и параметры, обнаруженные в предыдущих шагах, можно использовать скрипт Python для получения пакетов:

Выдержка из кода Python rfcatRaspberry PI с YARD Stick One сигнализация была поставлена ​​на охрану или снята с охраны.

Home:

 15 01 006c2221 af1600 46f2bbb40b023de73e7b3eef d74a8f 
15 01 006c2221 b21600 7ca55ebc36a28be9a18d050b b74a91
15 01 006c2221 b41600 5e013df2a7d63f29d8ee11ef 194a93
15 01 006c2221 b61600 a74a492eec6d85750d6d3c3c 6b4a94

Disarm:

 18 01 006c2221 c41300 219b9c74a23794b31b945cc3d68e0229 3992 
18 01 006c2221 c61300 14fc7247bae4cbd963347c860f8a10cb 3a96
18 01 006c2221 bc1300 80809bf26fda370f823d7208d49953eb 4493
18 01 006c2221 bf1300 f459155493141aaca2c0361f40d39eb1 4392

Entry Sensor Packets:

 16 02 007289cb f9d202 6b2d82a0f26ded4a3d95ae006723 fa51 
16 02 007289cb fad202 7d441c349698ab938ee973c0cd9f 098d
16 02 007289cb fed202 0994ea1ac9155f6076ff75105bb8 2b24
16 02 007289cb 06d302 65332d08bc4cc2df10a823039eef e8cf

Panic Button Press:

 16 02 006cdc17 431f00 ccdbd36b5e9c9afab6f25247d7cd 0cca 

Keyfob Packets:

 16 02 0070f8bb 355a00 c991a297447c3b5f9896460c2a0a 378f 
16 02 0070f8bb 365a00 619f3a672661563d95ecdec007a5 388f

После захвата достаточного количества пакетов становится очевидной закономерность. Вот разбивка содержимого пакета из моего первоначального анализа.

Пример пакета:

 16 02 007289cb f9d202 6b2d82a0f26ded4a3d95ae006723 fa51Size : 16 (22 байта, не включая байт длины) 
Флаг/тип пакета? : 02
Серийный номер устройства : 007289cb
Зашифрованные данные? : 6b2d82a0f26ded4a3d95ae006723
CheckSum : fa51

Я также заметил, что нажатие кнопки «Тест» на датчиках заставляло их отправлять специальный пакет. Обратите внимание, что эта кнопка используется для «привязки» (или «спаривания») датчика с базовой станцией 9.0305 . Here are a few from the entry sensors:

 16 f2 006f0538 05 fc40f8a66fd761ce2e2edf54ab0a5404 316c 
16 f2 005f5dc9 05 2a0220efdd4598e89171ab4170c7bbe3 7615
16 f2 007289cb 05 e6af9ac41e4cde7407efc5a28334e04a cb76

What's interesting is that the panic button doesn't have a separate bind button, поэтому он отправляет свой пакет связывания в дополнение к своему обычному пакету данных каждый раз, когда он запускается. Поскольку он нажимается только в экстренных случаях, никогда не будет способа перехватить пакет привязки после первоначальной привязки без срабатывания тревоги, если только вы не активируете его и не предотвратите попадание сигнала на базовую станцию ​​(например, с помощью клетки Фарадея). сумка).

 16 f2 006cdc17 03 f3dff6f2bdb17c9250462a7de968fc74 f4f6 

Пакеты всегда одни и те же при каждом запуске привязки. Они никогда не меняются. Пакеты включают в себя поле длины (0x16), флаг (0xf2), указывающий, что пакет предназначен для привязки, серийный номер устройства, который выглядит как константа, некоторые другие, казалось бы, случайные потенциально зашифрованные данные, и два контрольная сумма байта в конце.

Не углубляясь в сами микроконтроллеры, трудно понять, что происходит. Очевидно, что данные контактов для постановки и снятия с охраны каким-то образом обфусцированы/зашифрованы. Поэтому я решил обратить свое внимание на PIC, чтобы посмотреть, смогу ли я вытащить прошивку.

На базовой станции, клавиатуре и датчиках есть штифты для программирования для подключения программатора. Я использовал PICkit 3 для извлечения прошивки из этих микроконтроллеров. Вот распиновка для подключения программатора к базовой станции:

Назначение контактов программатора PIC (базовая станция)

Контакты для программирования PIC (базовая станция):

С помощью PICkit я попытался прочитать устройство, но обнаружил, что устройство защищено кодом enable:

Попытка прочитать PIC, но код защищен :(

Я также пытался считать код MCU с входа, клавиатуры и датчиков движения. Все были защищены кодом.

Взлом защиты кода PIC

После небольшого исследования можно выделить три основных подхода, которые можно использовать для разблокировки микроконтроллеров. Все три требуют IC, который был decapped. Снятие крышки — это процесс, при котором упаковка, покрывающая силиконовую матрицу (пластиковую, керамическую или эпоксидную), удаляется, чтобы обнажить ее. Для этого существует множество методов, включая лазерное травление и химическое травление.

Я отправил один из микроконтроллеров базовой станции в лабораторию, и ниже показано изображение чипа без крышки, который они отправили обратно.

Когда чип «функционально» снят с крышки (это означает, что он все еще работает после вытравливания упаковки), существуют различные известные мне способы взлома защиты от копирования.

Воздействие УФ-излучения

Я нашел блог², в котором подробно рассказывается о том, как некоторые устройства PIC можно разблокировать, подвергая память битов безопасности воздействию УФ-излучения, которое очищает их. Это работает на различных микроконтроллерах PIC, и я считаю, что это метод, с помощью которого лаборатория разблокировала датчик входа PIC; Я расскажу подробнее ниже.

Микрозондирование

С помощью станции микрозондирования можно точно позиционировать микроскопические зонды с помощью микроскопа. Иногда можно нажать на определенные трассы, чтобы прочитать данные, пока они извлекаются из памяти. Это похоже на запуск WireShark на микросхеме.

Микрозондовая станция в действии

Мельница с сфокусированным ионным пучком (FIB)

В этой технологии используется чрезвычайно сфокусированный пучок ионов галлия для добавления (осаждения) или удаления (абляции) материала из кремниевой матрицы. Это можно использовать для редактирования схем на кремниевой матрице и обычно используется во время разработки/прототипирования и тестирования/отладки интегральных схем. FIB используется в сочетании с SEM (сканирующей электронной микроскопией) для контроля/управления процессом измельчения. Затраты на расходные материалы и аренду оборудования для этого процесса довольно высоки, но с чипами, использующими все более мелкие процессы литографии, это единственный способ взломать защиту более совершенных чипов, таких как PIC32, используемый в базовой станции SimpliSafe.

Fabrication Labs

Я обнаружил, что самый дешевый и простой способ попробовать вышеупомянутые атаки на микроконтроллеры — обратиться в различные лаборатории, которые специализируются на обратном проектировании печатных плат и извлечении кода из микроконтроллеров. Связавшись с различными лабораториями и получив предложения, я отправил микросхемы с датчиков входа и базовой станции.

Была предпринята попытка на чипе базовой станции с использованием FIB, но она не удалась. Они попробовали второй раз, сказали, что все прошло успешно, и прислали мне код, предназначенный для работы на том же чипе, но явно от другого продукта. Оказалось, что мой заказ перепутали с чужим. В этот момент я отказался от чипа базовой станции, так как он начал дорожать.

Однако для датчиков сигнализации другая лаборатория смогла извлечь код чипа менее чем за 1000 долларов. Поэтому они использовали один из методов (кроме FIB из-за стоимости), описанных выше, для извлечения кода, вероятно, воздействие ультрафиолетового света для сброса предохранительных предохранителей. Они даже предложили мне продать технологию DIY :)

Предложение о передаче технологии

Я смог перепроектировать извлеченный код и определить, что он содержит жестко закодированный ключ AES. В дополнение к этому ключу было обнаружено, что ключ привязки жестко зашит в чип. Поэтому само собой разумеется, что если код базовой станции когда-либо будет скомпрометирован, должна быть возможность расшифровать пакеты привязки и получить жестко закодированные ключи AES, необходимые для декодирования связи с любым устройством SS3.

Я реализовал инструмент декодирования для датчика входа, который у меня был в результате обратного проектирования кода. Он будет работать только с датчиками, для которых у вас есть ключи AES. Вы можете скачать код здесь¹⁶. Я запрограммировал прошивку с известным ключом AES на новый датчик входа SimpliSafe и протестировал его.

Датчик входа с пиратской прошивкой :) Пакетный декодер в действии

Как видите, работает! То, как подключенные устройства используют жестко запрограммированные клавиши, объясняет некоторые атаки, которые мы обнаружили с использованием мошеннической клавиатуры. Это может позволить злоумышленнику, имеющему физический доступ, не зная PIN-кода, подключить неавторизованную клавиатуру и впоследствии отключить систему охранной сигнализации³ ⁴. (https://www.youtube.com/watch?v=YIfc_jQAB9г, https://www.youtube.com/watch?v=So4fzBzxbu8). С датчиками, поддерживающими двустороннюю связь, можно было бы обмениваться ключами, чтобы на 100 % предотвратить такие атаки, не полагаясь на сложную логику базовой станции для защиты от них.

Как упоминалось ранее, базовая станция SimpliSafe имеет радиоплату, подключенную к ней с помощью кабеля FPC. Радиоплата обеспечивает подключение Wi-Fi и BLE к основной плате базовой станции через SoC ESP32. Облачное соединение требуется для обновления прошивки и удаленного управления.

ESP32

В надежде найти сочный код для ESP32 было потрачено много времени на обратное проектирование формата прошивки. Цель состояла в том, чтобы получить дамп флэш-памяти с ESP32, а затем проанализировать его в IDA Pro. Проблема заключалась в том, что не было доступных инструментов, которые могли бы сделать именно это. Поэтому мы создали свой собственный. Далее мы поговорим о нашем процессе RE на высоком уровне.

Для справки: когда мы впервые сбросили флэш-память на ESP32, утилита «файл» понятия не имела, на что она смотрела.

Binwalk тоже не особо помог. Он определил некоторые пути Unix, сертификаты, закрытые ключи и, возможно, некоторые константы SHA256. Но, на самом деле, это мало помогло. Нас интересовал код .

Несмотря на то, что не было доступных инструментов для удовлетворения наших конкретных потребностей, руководство по программированию EspressIf ESP-IDF⁵ и код в репозитории esptool⁶ оказались всем, что нам нужно, чтобы «свернуть свое собственное».

Эти ресурсы помогли нам понять общую компоновку флэш-памяти, процесс загрузки и то, как хранится код приложения, а также его структуру. По сути, дамп флэш-памяти содержит загрузчик, таблицу разделов и несколько разделов разных типов. Пример дампа может выглядеть примерно так:

Схема прошивки ESP32

Особый интерес для нас представляли разделы Factory и OTA, так как они имеют тип «приложение» и, следовательно, содержат код приложения. Может присутствовать несколько разделов «образа приложения». Они создаются в процессе сборки прошивки, который обрабатывается ESP-IDF. Перед прошивкой прошивки на устройстве код приложения компилируется в ELF, а затем esptool.py впоследствии преобразует его в другой двоичный формат с помощью внутренней функции «elf2image».

 python esptool.py --chip esp32 elf2image --flash_mode dio --flash_freq 40m --flash_size 4MB --elf-sha256-offset 0xb0 -o /home/osboxes/esp/hello_world/build/hello-world.bin привет -world.elf 

Итак, возник вопрос: «Как нам извлечь ELF из образа прошивки?»

Это побудило нас проанализировать функцию elf2image в esptool.py, поскольку мы хотели выполнить обратный процесс. Мы обнаружили, что определенные разделы ELF выбираются для включения в образ приложения прошивки, а другие не учитываются. Включаются только разделы типа PROGBITS, поэтому исключается, например, таблица символов (.symtab). Это означает, что извлеченный ELF не будет содержать никаких символов, что усложняет анализ. Не говоря уже о том, что архитектура Xtensa.

Другой частью головоломки было сопоставление раздела ELF с сегментом изображения приложения. В нашем тестировании мы наблюдали последовательное сопоставление (например, .flash.rodata сопоставляется с DROM).

Сопоставление раздела ELF с сегментом изображения приложения

Кроме того, разделы записываются либо в сегменты ОЗУ, либо во флэш-память в зависимости от их адреса. Например, адреса флэш-памяти находятся в диапазоне от 0x400D0000 до 0x40400000. Кроме того, сегменты флэш-памяти могут нуждаться в дополнении из-за требования выравнивания 64 КБ — дополняться сегментами, не относящимися к флэш-памяти, или нулевыми байтами. В процессе elf2image есть еще кое-что, но мы не будем вдаваться в подробности.

Проанализировав код esptool.py elf2image, мы смогли создать собственную функцию для извлечения ELF. Как я уже сказал, он выполняет обратный процесс сборки. Нам нужно проанализировать таблицу разделов, определить раздел «приложение», а затем создать файл ELF, используя различные сегменты образа. К счастью, мы смогли повторно использовать часть кода из esptool, но часть кода мы также написали с нуля — парсинг логики и т. д. Python-модуль makeelf очень помог при построении ELF.

Помимо возможности копировать ELF из образа прошивки, наши инструменты могут отображать разделы в образе, создавать дамп указанного раздела на диск, а также создавать дамп содержимого раздела NVS. Если вам интересно погрузиться немного глубже и изучить более тонкие детали нашего процесса, взгляните на наш доклад на ShmooCon 2020 — Извлечение ELF из ESP32⁷. Исходный код доступен по адресу https://github.com/tenable/esp32_image_parser⁸.

Пароль Wi-Fi хранится в NVS

К сожалению, новый инструментарий не помог нам выявить критических уязвимостей в SimpliSafe, но мы нашли аккуратную ошибку. Наш анализ выявил некоторые недокументированные функции BLE, которые позволяли кому-то подключаться к базовой станции и изменять конфигурацию сети Wi-Fi. По сути, злоумышленник может приказать базовой станции SimpliSafe подключиться к его собственной сети. Ознакомьтесь с нашими рекомендациями по исследованиям⁹, если вам интересно.

Многие из вас знают об атаке обхода датчиков путем глушения с помощью дешевого беспроводного пульта от Amazon. Об этом сообщает LockPickingLawyer¹⁸ на YouTube. Они несколько улучшили аспекты обнаружения и оповещения, но они по-прежнему склонны к ложным срабатываниям / ложным отрицательным результатам. Они сильно ограничены используемой схемой модуляции (FSK²⁰ по сравнению с более надежной схемой модуляции с несколькими несущими, такой как OFDM¹⁹, которая более устойчива к помехам и помехам). Они действительно не могут исправить ничего из этого, не выпустив новую версию оборудования (для датчиков, базовой станции и клавиатуры) с улучшенными радиомодулями. К сожалению, это повысит стоимость системы.

Система охранной сигнализации SimpliSafe имеет очень хорошо спроектированное оборудование по довольно низкой цене. Радиопротоколы трудно атаковать вне глушения. Безопасность системы в значительной степени зависит от защиты кода PIC, которая не является на 100% надежной, особенно для хорошо финансируемого злоумышленника. С немного более дорогим оборудованием и двунаправленной связью с датчиками / клавиатурой, позволяющей обмениваться эфемерными ключами, систему будет намного сложнее атаковать, и она будет устойчива к злоумышленникам, которые получают доступ к прошивке, как мы видели. с сигнализацией Ring¹⁰. Безопасность через неизвестность никогда не заменит реальную безопасность системы.

[1] https://ioactive.com/remotely-disabling-wireless-взломщик/
[2] https://www.bunniestudios.com/blog/?page_id=40
[3] https://www .youtube.com/watch?v=YIfc_jQAB9g
[4] https://www.youtube.com/watch?v=So4fzBzxbu8
[5] https://docs.espressif.com/projects/esp-idf/en /latest/esp32/index.html
[6] https://github.com/espressif/esptool
[7] https://www.youtube.com/watch?v=w4_3vwN_2dI
[8] https:// github.com/tenable/esp32_image_parser
[9] https://www.tenable.com/security/research/tra-2020-09
[10] https://medium.com/tenable-techblog/inside-amazons-ring-alarm-system-9731bc519974
[11] https://www. microchip.com/wwwproducts/en/PIC32MX170F512L
[12] https://en.wikipedia.org/wiki/Serial_Peripheral_Interface
[13] https://greatscottgadgets.com/hackrf/
[14] https://greatscottgadgets.com/yardstickone/
[15] https://github .com/atlas0fd00m/rfcat
[16] https://github.com/tenable/poc/blob/master/SimpliSafe/packet_decoder.py
[17] https://www.ti.com/lit/ug/swru295e/swru295e.pdf
[18] https://www.youtube.com/watch?v=UlNkQJzw4oA
[19] https://en.wikipedia.org/wiki/Orthogonal_frequency-division_multiplexing
[20] https:/ /en.wikipedia.org/wiki/Frequency-shift_keying

Программирование вашего ключа BMW E38 E39 X5 E46 X3 Z4 Z8 – Интернет-магазин Bimmernav

Сменные брелки BMW необходимо запрограммировать перед использованием. Программирование инициализирует ваш дистанционный ключ и связывает его с вашим BMW, позволяя вам использовать его для блокировки и разблокировки вашего автомобиля.

Программирование ключа BMW и функции удаленного запирания/отпирания дверей

Чтобы включить или отключить дистанционную функцию сменного ключа BMW, выполните следующую процедуру:

  • Со всеми дистанционными ключами в автомобиле одновременно закройте и заприте все двери. .
  • Включить/выключить зажигание в рабочее положение с помощью Новый мастер-ключ .
  • Извлечь ключ, не открывая дверей
  • Нажмите и удерживайте кнопку РАЗБЛОКИРОВАТЬ (кнопка со стрелкой) на новом мастер-ключе.
  • Удерживая кнопку разблокировки, нажмите кнопку LOCK (логотип BMW) на короткое время 3 раза подряд, удерживая кнопку разблокировки нажатой. Нажимайте кнопки быстро, но не быстро, короткие 1-секундные паузы между нажатиями кнопок с логотипом BMW.
  • Одновременно отпустите обе кнопки при последнем нажатии кнопки.
  • Двери будут запираться и разблокироваться для подтверждения инициализации удаленной функции. Выполните процедуру программирования нажатия одной и той же кнопки для каждого ключа в течение 30 секунд (до 4 дистанционных ключей), чтобы активировать все ключи в системе дистанционного дверного замка.

Если вы потеряли ключ или хотели бы иным образом отключить удаленную функцию одного из ваших ключей, выполните вышеуказанный процесс со всеми ключами, кроме ключа, который вы хотите удалить. В результате этого процесса старый или потерянный дверной пульт будет удален из списка активных дверных пультов, и утерянный ключ больше не будет удаленно открывать ваш автомобиль.

 

Любой дистанционный ключ, не запрограммированный во время одного и того же сеанса, больше не будет запирать/отпирать и ставить/снимать с охраны (FZV и DWA) автомобиль... хотя ключ по-прежнему будет запускать автомобиль (EWS).

Удаленная инициализация ключей

Инициализация ключей FZV требуется для установления синхронизации сигнала блокировки/разблокировки с GM. Процедура инициализации предоставляет GM идентификационный номер ключа и «плавающий код» для каждого ключа. Если инициализация не выполнена, GM не будет реагировать на сигналы клавиш.

Можно инициализировать до 4 дистанционных ключей. Они должны быть инициализированы одновременно. Инициализация ключа возможна только при незапертом автомобиле.

Процедура

  1. Закройте все двери и подготовьте все ключи.
  2. С помощью ключа № 1 поверните ключ зажигания в положение KL R, затем выключите в течение 5 секунд и выньте первый ключ.
  3. В течение 30 секунд после выключения зажигания, Нажмите и удерживайте кнопку #2 .
  4. Удерживая кнопку № 2, нажмите и отпустите ( "нажмите" ) кнопку № 1 три раза в течение 10 секунд.
  5. Отпустите обе кнопки. Светодиод в ключе кратковременно мигнет (кроме 2000 МГ). GM немедленно заблокирует и разблокирует двери, сигнализируя об успешной инициализации.
  6. Если необходимо инициализировать дополнительные ключи, повторите шаги 3–5 в течение 30 секунд.
  7. Переключение зажигания на KL R завершает инициализацию.

ПРИМЕЧАНИЕ: Функция памяти ключей GM реагирует на идентификационный номер каждого ключа. Если клавиши не были инициализированы в том же порядке, что и перед инициализацией, функции памяти клавиш, активируемые клавишами, не будут назначены правильно. Всегда инициализируйте ключи в одном и том же порядке.

Инициализация нового ключа для запуска автомобиля

Если новый ключ не заведет автомобиль сразу, это легко исправить, используя Оригинальный ключ для инициализации:

  • Включите зажигание в рабочее положение с оригинальным мастер-ключом.
  • Выньте ключ из замка зажигания.
  • В течение 5 секунд включите/выключите зажигание в рабочее положение с помощью Новый мастер-ключ .

После завершения GMIII назначит другой набор скользящих кодов для программирования FZV/DWA.

Насадки для мастер-ключа BMW

Открытие всех окон и люка

При нажатии кнопки разблокировки и удержании кнопки разблокировки ключа в нажатом положении открываются окна, а затем люк в крыше. Если отпустить кнопку в любой момент, процесс остановится.

Закрыть все окна и люк

В некоторых автомобилях BMW нажатие и удержание кнопки блокировки ключа в нажатом положении закрывает окна, а затем люк.


Learn more


Оцените статьюПлохая статьяСредненькая статьяНормальная статьяНеплохая статьяОтличная статья (проголосовало 13 средний балл: 5,00 из 5)