Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Rootmethode voor Google Wifi-router vereist openschroeven apparaat

Door , 31 reacties

Er is een methode verschenen om de Google Wifi-router te rooten. Dankzij roottoegang kunnen gebruikers bijvoorbeeld al het internetverkeer via een zelfgekozen vpn leiden. De rootmethode vereist dat gebruikers een knop in de behuizing van het apparaat indrukken.

Aan de onderkant van de Google Wifi zit een enkele schroef. Als die los is, kan de behuizing met enig gewrik open. Daarna moeten gebruikers volgens de handleiding op de GitHub-pagina van het project GaleForce de resetknop exact zestien seconden lang indrukken. Vervolgens moeten ze de 'bubble switch' op het pcb indrukken, waarna de kleur van de led aan de buitenkant van oranje in paars verandert. Met een usb-stick is het vervolgens mogelijk om de benodigde bestanden op de router te flashen. Na een automatische update blijft de rootmethode in stand.

Het rooten van het apparaat maakt het mogelijk om meer in te stellen dan standaard mogelijk is. Behalve toegang via ssh kunnen gebruikers een eigen vpn op de router zetten of een dynamische dns-service installeren. De naam GaleForce is afkomstig van de codenaam die Google aan het apparaat gaf: Gale.

De Google Wifi kwam vorig jaar uit in onder meer de Verenigde Staten. Het apparaat, dat niet alleen een wifisignaal kan verspreiden, maar ook in configuraties met verscheidene exemplaren een meshnetwerk kan vormen, is niet verkrijgbaar in de Benelux.

De binnenkant van een Google Wifi met de bubbleswitch in het gemarkeerde, gele vierkant

Reacties (31)

Wijzig sortering
Ik vraag mij altijd af hoe iemand dit bedenkt.

Bijvoorbeeld dat je de resetknop precies 16 seconden ingedrukt moet houden is toch iets wat je moet weten?
Ik vermoed dat ze op de een of andere manier een update hebben weten de bemachtigen (bijvoorbeeld door het netwerkverkeer af te luisteren), en die hebben geanalyseerd.

Maar het zou natuurlijk ook kunnen dat ze insider informatie hebben.

Edit: blijkbaar is die code gewoon door iedereen te bekijken:
https://chromium.googleso...oogle/gale/chromeos.c#118

#define WIPEOUT_MODE_DELAY_MS (8 * 1000)
#define RECOVERY_MODE_EXTRA_DELAY_MS (8 * 1000)


De eerste 8 seconde is voor het resetten van het apparaat, een extra 8 seconde is om in de recovery mode te komen.

[Reactie gewijzigd door Pizzalucht op 18 juli 2017 10:01]

Dat vroeg ik me dus af .. chips naspeuren snap ik nog wel, maar hoe kom je dan aan de 16 seconden. Zit het gewoon in de code .. ;-) Doen ze dan ook niet echt hun best om de boel te beveiligen.
Dat heeft niets met beveiligen of geheimhouden te maken. Zie ook de disclaimer/license waarmee de code begint.
* This program is free software; you can redistribute it and/or modify
* it under the terms of the GNU General Public License as published by
* the Free Software Foundation; version 2 of the License.
Dit is meer om de "normale" gebruikers te beveiligen. Je wil niet dat deze mensen per ongeluk in recovery mode terechtkomen en dan gaan opbellen dat het apparaat stuk is.
Of gewoon ding open doen, knop drukken eerst 1 sec dan 2 dan 4 enz totdat er iets gebeurt, de lichtjes bijv die iets aangeven.
Je begint met kijken welke chips er op het pcb zitten en zoek daar datasheets bij. Mogelijk heeft een belangrijke chip een reset pootje, mocht daar een knop op aangesloten zijn dan is dat een goede indicatie. Dat het exact 16 seconden ingedrukt moet worden kan dan het gevolg zijn van een condensator parallel aan dit circuit. Een andere optie is dat je een software dump hebt kunnen maken (vaak via een debug interface) en daar deze informatie uit haalt.
Condensatoren hebben vaak een tolerantie van 20% tenzij je een heel dure versie hebt, maar dan nog is exact 16 seconden zo goed als onmogelijk te maken, terwijl in software dit op millisecondes nauwkeurig te maken is. Kortom, vandaag de dag is dat software, eigenlijk nooit meer met RC tijden ...
Je hebt gelijk, voor exact 16 seconden is een rc tank inderdaad onwaarschijnlijk. Ik kom echter nog wel af en toe buffer caps tegen op een reset/boot pin die ervoor zorgen dat je een reset knop "enkele" seconden moet indrukken
Daarom is dat ook een "ongeveer" knop :) Net zo lang drukken tot er iets gaat knipperen, of dat 10 of 11 seconden duurt is dan niet relevant. Of het is om als "antidender" te dienen voor een goedkope drukschakelaar.

[Reactie gewijzigd door Houtenklaas op 18 juli 2017 10:48]

Of trial and error ;) nog steeds wel knap dat je erop komt.
De reden hierachter staat op de github pagina:
Press the reset button on the back until light blinks orange (exactly 16 seconds)
In de code van de switch button staat namelijk een extra delay naar recovery mode, waarna je het root wachtwoord kan veranderen.
Het kan natuurlijk dat men de schema's e.d. van de onderdelen opzoekt. Openschroeven, zoeken naar markeringen op het pcb naar fabrikant/model. Dat even opzoeken en verder zoeken tot men een manier heeft gevonden. Dit is research of een heel moderne vorm van archeologie. Aangezien je in niet ideale omstandigheden zo veel mogelijk probeert te achterhalen.
Ik vraag mij altijd af hoe iemand dit bedenkt.

Bijvoorbeeld dat je de resetknop precies 16 seconden ingedrukt moet houden is toch iets wat je moet weten?
Het zijn signalen die op te pikken zijn met een oscilloscoop. (Ok beetje deftig model nodig om ze te onderscheppen)
Eenmaal triggers bekend is het een kwestie van combinaties proberen en verdere reverse engineren. Uiteindelijk kan je firmware dumps maken. Het is een heel karwei en je hebt kennis nodig op componenten niveau. Vooral logic van IC's

[Reactie gewijzigd door osmosis op 18 juli 2017 13:19]

Da's ingewikkelder dan nodig. Als je naar de regels code kijkt boven dan weet je ongeveer hoe het werkt;
na 8 seconden ingedrukt reset het apparaat, en na 16 sec kom je in de recovery. Je kan de knop dus ingedrukt houden en hoeft niet los te laten exact op die 16. Na die 16 veranderd het ledje van kleur en dan weet je het.
Oh ja, de code staat gewoon openbaar bij google zelf :+

Ging er vanuit dat de boel dichtgetimmerd was. Dan word het reserve engineering
Niet verkrijgbaar in de Benelux?
Pricewatch §429 of is dat een andere?
Zie je die rode vrachtwagentjes bij de leveranciers staan? Dat betekent vaak dat ze het er maar in zetten voor het geval dat ofzo, maar ik denk dat het hem niet wordt hier. Bij Routershop staat: Bel voor levertijd.
§129 bij Coolblue, maar (nog) niet leverbaar.
Grijze import voor vraag maar raak prijzen. De router kost $111 p.s. en $270 per drie.

https://www.amazon.com/dp...KN9X?_encoding=UTF8&psc=1
Kan je dan niet beter gewoon voor een andere router kiezen?
Welke consumenten router geeft dan standaard de mogelijkheid om eigen scripts te runnen?
Er zijn genoeg routers waar je LEDE op kunt zetten en dan is er best veel mogelijk. De reden waarom ik dat heb draaien is omdat mijn (TP-Link WRT-4300) al jaren (laatste is al ruim 2 jaar oud) geen updates meer vanuit de fabrikant krijgt.

Lijkt me handiger dan een Google ding kopen en die vervolgens te flashen.

[Reactie gewijzigd door jongetje op 18 juli 2017 10:16]

Da's flauw. Op deze router kun je in de nabije toekomst waarschijnlijk ook LEDE zetten.
Waarom koop je er dan niet direct een waarop het een stuk makkelijker gaat? In mijn TP-link is het kwestie van een bestand uploaden in de webinterface en 2 minuten later staat het erop, zonder schroevendraaier.
Omdat makkelijk niet altijd leuk is.
Omdat de behuizing van dit routertje beter bij je behang kleurt dan zo'n TP-Link.
Omdat die TP-Link niet meer in de handel is, en deze wel.

Omdat je het kan.

Overigens, ik draai LEDE op mijn ZyXEL P2812HNU. Installatie vereist het openschroeven van de behuizing (5 schroeven, plus nog wat haakjes), een TTL seriŽle kabel leggen, 2 inimini soldeerpads kortsluiten bij het booten, een bootloader serieel uploaden. Deze gebruiken om een andere bootloader via TFTP binnen te halen en te flashen. Vervolgens deze tweede bootloader gebruiken om LEDE via TFTP binnen te halen en te flashen.

Ik vind die Google wel meevallen eigenlijk. Tot dusver.
Na dat verhaal denk ik dat je de maanlanding ook wel mee vindt vallen ;)
Ubiquiti's Edgemax routers kunnen dat, het is gewoon een Debian systeem wat erop draait dus je kan, nadat je de repo heb ingesteld, gewoon apt-getten.
Edgemax routers zijn niet bedoeld voor de consumentenmarkt.
De Turris Omnia is geheel open source en draait een aangepaste versie van OpenWrt. Je kunt hierop gewoon als root inloggen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*