Rootmethode voor Google Wifi-router vereist openschroeven apparaat

Er is een methode verschenen om de Google Wifi-router te rooten. Dankzij roottoegang kunnen gebruikers bijvoorbeeld al het internetverkeer via een zelfgekozen vpn leiden. De rootmethode vereist dat gebruikers een knop in de behuizing van het apparaat indrukken.

Aan de onderkant van de Google Wifi zit een enkele schroef. Als die los is, kan de behuizing met enig gewrik open. Daarna moeten gebruikers volgens de handleiding op de GitHub-pagina van het project GaleForce de resetknop exact zestien seconden lang indrukken. Vervolgens moeten ze de 'bubble switch' op het pcb indrukken, waarna de kleur van de led aan de buitenkant van oranje in paars verandert. Met een usb-stick is het vervolgens mogelijk om de benodigde bestanden op de router te flashen. Na een automatische update blijft de rootmethode in stand.

Het rooten van het apparaat maakt het mogelijk om meer in te stellen dan standaard mogelijk is. Behalve toegang via ssh kunnen gebruikers een eigen vpn op de router zetten of een dynamische dns-service installeren. De naam GaleForce is afkomstig van de codenaam die Google aan het apparaat gaf: Gale.

De Google Wifi kwam vorig jaar uit in onder meer de Verenigde Staten. Het apparaat, dat niet alleen een wifisignaal kan verspreiden, maar ook in configuraties met verscheidene exemplaren een meshnetwerk kan vormen, is niet verkrijgbaar in de Benelux.

De binnenkant van een Google Wifi met de bubbleswitch in het gemarkeerde, gele vierkant

Reacties (31)

ChristianBurger 18 juli 2017 09:53

Ik vraag mij altijd af hoe iemand dit bedenkt.

Bijvoorbeeld dat je de resetknop precies 16 seconden ingedrukt moet houden is toch iets wat je moet weten?

Pizzalucht @ChristianBurger • 18 juli 2017 09:58

Ik vermoed dat ze op de een of andere manier een update hebben weten de bemachtigen (bijvoorbeeld door het netwerkverkeer af te luisteren), en die hebben geanalyseerd.

Maar het zou natuurlijk ook kunnen dat ze insider informatie hebben.

Edit: blijkbaar is die code gewoon door iedereen te bekijken:
https://chromium.googleso...oogle/gale/chromeos.c#118

#define WIPEOUT_MODE_DELAY_MS (8 * 1000)
#define RECOVERY_MODE_EXTRA_DELAY_MS (8 * 1000)

De eerste 8 seconde is voor het resetten van het apparaat, een extra 8 seconde is om in de recovery mode te komen.

[Reactie gewijzigd door Pizzalucht op 24 juli 2024 20:21]

Eusebius @Pizzalucht • 18 juli 2017 10:17

Dat vroeg ik me dus af .. chips naspeuren snap ik nog wel, maar hoe kom je dan aan de 16 seconden. Zit het gewoon in de code .. ;-) Doen ze dan ook niet echt hun best om de boel te beveiligen.

Eagle Creek

@Eusebius • 18 juli 2017 10:29

Dat heeft niets met beveiligen of geheimhouden te maken. Zie ook de disclaimer/license waarmee de code begint.

* This program is free software; you can redistribute it and/or modify
* it under the terms of the GNU General Public License as published by
* the Free Software Foundation; version 2 of the License.

Verwijderd @Eusebius • 18 juli 2017 13:53

Dit is meer om de "normale" gebruikers te beveiligen. Je wil niet dat deze mensen per ongeluk in recovery mode terechtkomen en dan gaan opbellen dat het apparaat stuk is.

bbob

Google

@Eusebius • 18 juli 2017 17:55

Of gewoon ding open doen, knop drukken eerst 1 sec dan 2 dan 4 enz totdat er iets gebeurt, de lichtjes bijv die iets aangeven.

antubus @ChristianBurger • 18 juli 2017 10:02

Je begint met kijken welke chips er op het pcb zitten en zoek daar datasheets bij. Mogelijk heeft een belangrijke chip een reset pootje, mocht daar een knop op aangesloten zijn dan is dat een goede indicatie. Dat het exact 16 seconden ingedrukt moet worden kan dan het gevolg zijn van een condensator parallel aan dit circuit. Een andere optie is dat je een software dump hebt kunnen maken (vaak via een debug interface) en daar deze informatie uit haalt.

Houtenklaas @antubus • 18 juli 2017 10:32

Condensatoren hebben vaak een tolerantie van 20% tenzij je een heel dure versie hebt, maar dan nog is exact 16 seconden zo goed als onmogelijk te maken, terwijl in software dit op millisecondes nauwkeurig te maken is. Kortom, vandaag de dag is dat software, eigenlijk nooit meer met RC tijden ...

antubus @Houtenklaas • 18 juli 2017 10:36

Je hebt gelijk, voor exact 16 seconden is een rc tank inderdaad onwaarschijnlijk. Ik kom echter nog wel af en toe buffer caps tegen op een reset/boot pin die ervoor zorgen dat je een reset knop "enkele" seconden moet indrukken

Houtenklaas @antubus • 18 juli 2017 10:48

Daarom is dat ook een "ongeveer" knop

Net zo lang drukken tot er iets gaat knipperen, of dat 10 of 11 seconden duurt is dan niet relevant. Of het is om als "antidender" te dienen voor een goedkope drukschakelaar.

[Reactie gewijzigd door Houtenklaas op 24 juli 2024 20:21]

Byron010 @ChristianBurger • 18 juli 2017 09:55

Of trial and error

nog steeds wel knap dat je erop komt.

PatyYe @Byron010 • 18 juli 2017 10:00

De reden hierachter staat op de github pagina:
Press the reset button on the back until light blinks orange (exactly 16 seconds)
In de code van de switch button staat namelijk een extra delay naar recovery mode, waarna je het root wachtwoord kan veranderen.

Soggney @ChristianBurger • 18 juli 2017 10:02

Het kan natuurlijk dat men de schema's e.d. van de onderdelen opzoekt. Openschroeven, zoeken naar markeringen op het pcb naar fabrikant/model. Dat even opzoeken en verder zoeken tot men een manier heeft gevonden. Dit is research of een heel moderne vorm van archeologie. Aangezien je in niet ideale omstandigheden zo veel mogelijk probeert te achterhalen.

osmosis @ChristianBurger • 18 juli 2017 13:14

Ik vraag mij altijd af hoe iemand dit bedenkt.

Bijvoorbeeld dat je de resetknop precies 16 seconden ingedrukt moet houden is toch iets wat je moet weten?

Het zijn signalen die op te pikken zijn met een oscilloscoop. (Ok beetje deftig model nodig om ze te onderscheppen)
Eenmaal triggers bekend is het een kwestie van combinaties proberen en verdere reverse engineren. Uiteindelijk kan je firmware dumps maken. Het is een heel karwei en je hebt kennis nodig op componenten niveau. Vooral logic van IC's

[Reactie gewijzigd door osmosis op 24 juli 2024 20:21]

Durandal @osmosis • 18 juli 2017 15:30

Da's ingewikkelder dan nodig. Als je naar de regels code kijkt boven dan weet je ongeveer hoe het werkt;
na 8 seconden ingedrukt reset het apparaat, en na 16 sec kom je in de recovery. Je kan de knop dus ingedrukt houden en hoeft niet los te laten exact op die 16. Na die 16 veranderd het ledje van kleur en dan weet je het.

osmosis @Durandal • 18 juli 2017 17:56

Oh ja, de code staat gewoon openbaar bij google zelf

Ging er vanuit dat de boel dichtgetimmerd was. Dan word het reserve engineering

Euronitwit

18 juli 2017 10:13

Niet verkrijgbaar in de Benelux?
Pricewatch €429 of is dat een andere?

dehardstyler @Euronitwit • 18 juli 2017 10:18

Zie je die rode vrachtwagentjes bij de leveranciers staan? Dat betekent vaak dat ze het er maar in zetten voor het geval dat ofzo, maar ik denk dat het hem niet wordt hier. Bij Routershop staat: Bel voor levertijd.

kevin38423198 @Euronitwit • 18 juli 2017 10:20

€129 bij Coolblue, maar (nog) niet leverbaar.

Verwijderd @Euronitwit • 18 juli 2017 15:36

Grijze import voor vraag maar raak prijzen. De router kost $111 p.s. en $270 per drie.

https://www.amazon.com/dp...KN9X?_encoding=UTF8&psc=1

Mr. Freeze 18 juli 2017 10:04

Kan je dan niet beter gewoon voor een andere router kiezen?

Mijzelf @Mr. Freeze • 18 juli 2017 10:09

Welke consumenten router geeft dan standaard de mogelijkheid om eigen scripts te runnen?

jongetje

@Mijzelf • 18 juli 2017 10:15

Er zijn genoeg routers waar je LEDE op kunt zetten en dan is er best veel mogelijk. De reden waarom ik dat heb draaien is omdat mijn (TP-Link WRT-4300) al jaren (laatste is al ruim 2 jaar oud) geen updates meer vanuit de fabrikant krijgt.

Lijkt me handiger dan een Google ding kopen en die vervolgens te flashen.

[Reactie gewijzigd door jongetje op 24 juli 2024 20:21]

Mijzelf @jongetje • 18 juli 2017 10:25

Da's flauw. Op deze router kun je in de nabije toekomst waarschijnlijk ook LEDE zetten.

jongetje

@Mijzelf • 18 juli 2017 10:27

Waarom koop je er dan niet direct een waarop het een stuk makkelijker gaat? In mijn TP-link is het kwestie van een bestand uploaden in de webinterface en 2 minuten later staat het erop, zonder schroevendraaier.

Mijzelf @jongetje • 18 juli 2017 10:42

Omdat makkelijk niet altijd leuk is.
Omdat de behuizing van dit routertje beter bij je behang kleurt dan zo'n TP-Link.
Omdat die TP-Link niet meer in de handel is, en deze wel.

Omdat je het kan.

Overigens, ik draai LEDE op mijn ZyXEL P2812HNU. Installatie vereist het openschroeven van de behuizing (5 schroeven, plus nog wat haakjes), een TTL seriële kabel leggen, 2 inimini soldeerpads kortsluiten bij het booten, een bootloader serieel uploaden. Deze gebruiken om een andere bootloader via TFTP binnen te halen en te flashen. Vervolgens deze tweede bootloader gebruiken om LEDE via TFTP binnen te halen en te flashen.

Ik vind die Google wel meevallen eigenlijk. Tot dusver.

Durandal @Mijzelf • 18 juli 2017 15:32

Na dat verhaal denk ik dat je de maanlanding ook wel mee vindt vallen

Nahata @Mijzelf • 18 juli 2017 10:17

Ubiquiti's Edgemax routers kunnen dat, het is gewoon een Debian systeem wat erop draait dus je kan, nadat je de repo heb ingesteld, gewoon apt-getten.

Verwijderd @Nahata • 18 juli 2017 18:22

Edgemax routers zijn niet bedoeld voor de consumentenmarkt.

ignitem @Mijzelf • 18 juli 2017 11:33

De Turris Omnia is geheel open source en draait een aangepaste versie van OpenWrt. Je kunt hierop gewoon als root inloggen.

Op dit item kan niet meer gereageerd worden.

Rootmethode voor Google Wifi-router vereist openschroeven apparaat

Lees meer

Reacties (31)

Sorteer op:

Weergave: