Zum Hauptinhalt wechseln

Repariere deine Sachen

Recht auf Reparatur

Werkzeug & Ersatzteile

Die im Frühjahr 2016 erschienene Toniebox ist ein Audio-Abspielgerät für Kinder ab 3 Jahren.

22 Fragen Alle anzeigen

nfc Chips für tonies kaufen

Kann man die nfc Chips separat kaufen um sich einfacher eigene tonies (zaubertonies) zu basteln?

Bisher kenne ich nur die Lösung den Chip aus einem tonie auszubauen und in eine andere Figur einzubauen.

Diese Frage beantworten Ich habe das gleiche Problem

Ist dies eine gute Frage?

Bewertung 9
Einen Kommentar hinzufügen

Manta Precision Bit Set

112 Bits für jede Reparatur.

Upgrade Your Toolbox

Manta Precision Bit Set

Upgrade Your Toolbox

15 Antworten

Hilfreichste Antwort

Das Problem wird den die UID (Seriennummer) des passenden Chips (ISO15693 SLI-L) in die TonieCloud zu bekommen.

D.h. Sobald ein neuer Tonie aufgestellt wird wird gecheckt welche UID der Chip hat und sucht dann in der Cloud nach der entsprechenden Datei.Wenn die UID nicht auf dem Server bekannt ist wird vermutlich garnichts passieren.

Bin gerade dabei das alles mal zu checken… Hab es jetzt wenigstens schonmal geschafft einen Tonie auszulesen und melde mich hier falls es Neuigkeiten gibt.

War diese Antwort hilfreich?

Bewertung 11

Kommentare:

Also ich habe es jetzt geschafft aus einem fest bespielten tonie (der Löwe) einen zaubertonie zu machen. D.h der Löwe spielt jetzt z.b. Den Inhalt von Rotkäppchen. Wenn man jetzt den chip aus dem Löwen holt kann man einen zaubertonie bauen (der Löwe wurde bei uns nicht gehört).

Bin noch dabei an den chips zu testen (falls jemand einen iso15693 hat und/oder weiß wie die UID zu ändern ist, dann kann man ja zusammen schneller ans Ziel kommen).

Wer Infos will um aus einem "festen" tonie einen zaubertonie zu machen p.n. An mich.

Gruß

von

Wie kann ich dich denn @jes90 p.n.? ;)

von

@jes90 Ich würde gern mehr über die tonie transformation erfahren, kannst du mir mehr Infos zukommen lassen?

von

Hehe, ich bin wohl genauso blind. und finde nirgends eine Möglichkeit für eine PN :) Die Infos hätte ich aber auch gern. Hab hier nämlich eine falsch geschenkte Eule und das richtige Hörspiel :) @jes90

von

Wie kann man denn hier eine PN verschicken? @jes90 Könntest du mir bitte auch sagen wie das mit den Tonies funktioniert.

von

30 weitere Kommentare anzeigen

Einen Kommentar hinzufügen

Ich habe es mit einem ESP-32 + RFID-Leser (PN5180) mit dieser Arduino-Library probiert. Leider antwortet der Chip nicht auf die Standard 15693 Commands. Vermute hier ist noch zusätzlich etwas abgesichert worden.

Der Chip stellt sich leider (noch) tot..

War diese Antwort hilfreich?

Bewertung 1

Kommentare:

Vielen vielen Dank das du dich bemüht. Ich habe mit der Technik gar nichts am Hut. Aber wenn ich irgendwie helfen kann (wie ist zwar fragwürdig) bin ich dabei um da Geld zu sparen.

Ich drücke die Daumen das du was hinbekommst! Und bleib gerne auf den laufenden.

Michael steckel

von

Einen Kommentar hinzufügen

VeryNice :)

Also andere Boxen sind auch modifizierbar …

Siehe : HIER

Viel Spass beim Lesen

Und noch schöne Festtage

Gruss

GC

War diese Antwort hilfreich?

Bewertung 1
Einen Kommentar hinzufügen

Hi guys, sorry but I’m not german and I’ll have to speak English.

Me and some other NFC guys were at the Chaos Communication Congress and wanted something to play, so in an afternoon we added preliminary support for ICODE tags to the ChameleonMini (which was already posted here). Emulation is already working properly but the code needs to be polished.

It will of course make it into the main branch, but in the meantime you can grab a copy from my own repository here

You can use a CR95HF to read data from the original tag with this python script

War diese Antwort hilfreich?

Bewertung 1

Kommentare:

Great Job.

Did already hear about you having some fun with the toniebox at the 36C3 this year. Unfortunatelly missed that.

Milan posted a couple of weeks that he did manage to modify the ChameleonMini Firmware to emulate tonies, but he did not share any source.

Did you work with the RevE or the RevG Version of the ChameleonMini?

Regards,

Gambrius

von

@ceres-c thanks for the effort. Sadly I missed the Chameleon session at Congress too.

Just to get it right: with the ICODE support + ChameleonMini it is possible to clone any Tonie right away?

That would enable an attacker to read out the IDs of new Creative Tonies sitting sealed in a shop, emulate them, claim them and causing hazzle for the people buying this Tonie afterwards. As they should recognize them as already used.

von

@Moritz

It is right what you are saying. But you can switch the option that the creative tonie can only be played on one single box. That one of the owner. So the cloned ones can not be played if this option is set. but if the ownership is set by a cloner, the customer can not work with this creative tonie and has to bring it back to the shop. But in this case it is it is obvious for Boxine who the cloner is, because of the mandatory sign on. They can block him of go after him.

von

@gambrius

We were often at the Italian Embassy, you should have passed by!

Our code works on the Rev.G., the only one officially supported by KaOs, the original developers.

To the best of my knowledge Rev.E. does not support ISO15693. It shouldn't be too hard to port ISO15 codec to that revision, but it's just not worth it in my opinion.

von

@Moritz Yes indeed, it is now possible to clone a tonie right away.

It does not yet compare 1:1 to the original tag since we did not implement some commands, but it was a "good enough" result for the time we had.

There could be indeed issues such as the ones you pointed out, but it's not as easy as you might think.

It's impossible to read these tags in privacy mode with phones because tag identification is performed in the phone's NFC chip and not by android itself. Everything is offloaded to the NFC chip's firmware and that does not take into account this kind of tags which require a password to unlock.

Even with a standalone reader it's pretty hard to get the tag to respond due to the small antenna. There are indeed long range readers, but they are not so common.

I honestly do not see any reason for an attacker to invest such an amount of energy into this course of action. I see it more likely to figure out the relationship between the data inside a tonie and the UID (if there is any).

von

Einen Kommentar hinzufügen

Hi,

Wie könnt ihr denn die NFC der Tonies auslesen? Mein Handy zumindest erkennt nix, wenn ich es an eine Figur halte. :/

Viele Grüße

War diese Antwort hilfreich?

Bewertung 0
Einen Kommentar hinzufügen

Ich finde diese Tonies super. Einfach eine sehr smarte Entwicklung, die auch teuer war. Gut, es kostet nicht wenig, aber um den Kauf der Box kommt man sowieso nicht rum. Die Kosten für die bepielbaren Tonie halten sich dann im Rahmen, so viele braucht man doch garnicht, der Inhalt kann von Zeit zu Zeit geändert werden.

Ich denke es wird nicht einfach sein/unmöglich einen Chip in die Cloud der Toniebox einzuschmuggeln. Der Chip schaltet doch nur die Inhalt frei, der Server wird ihn einfach nicht freigeben. Bin zwar neugierig auf euere Versuche, ich selbst würde den Aufwand nicht treiben. Lasst die Leute doch ihr Geld verdienen ;-)

War diese Antwort hilfreich?

Bewertung 0

Kommentare:

Der Ansatz ist nicht die Cloud sondern den Weg über die interne Speicherkarte

zu gehen (siehe Antworten 1. Posting): Die Cloud müsste man der Box in der heimischen Umgebung simulieren.

Ich bin bei Dir: Entwicklung kostet viel Geld, die Idee muss man auch mal haben und die Leute sollen auch verdienen.

Aber mich interessiert trotzdem die technische Umsetzung und ein wenig über die Box herauszufinden ohne gleich einen konkreten Hack im Sinn zu haben. Habe 2 kleine Kinder und damit auch nicht mehr die Zeit zum Basteln und Forschen ;)

von

Sehe ich auch so, es geht nicht um das Geld, Sundern um den Hack. Z.B. Toni auf den nfc.reader vom Handy stellen und was eigenes starten. Sozusagen als alter Ego der Figur.

Das Handy - NFC Tool von android reagiert nur leider nicht.

von

Ich denke, der einzig mögliche Weg ist einen Tonie bzw. Seine Daten auf der Box zu manipulieren, die Frage ist nur lässt sich das Limit von 90min so aufheben,? funktionieren Dateien ohne den Header von Tonies? Es muss einen einfacheren Weg geben als jedes mal die Box zerlegen zu müssen um auf die Karte zugreifen zu können.

von

Ich finde beide Wege interessant. Eigene Cloud ist aber sicher schwieriger.

Ich vermute, dass sich eigene Header erzeugen lassen. Dafür müssten wir sie aber vollständig entschlüsseln. Die Box wird die Header u.a. benutzen, um zu prüfen, ob der Download geklappt hat und wie man durch die Titel springen kann. Ohne wird daher denke ich nicht gehen.

Die größe der Header könnte eine Beschränkung sein, da sich in 4KB nur eine begrenzte Anzahl an Titeln unterbringen lässt. Allerdings ist da noch Spielraum. Ich vermute mal die 90min Beschränkung kommt aus der Cloud damit man mehr Kreativtonies kauft.

Als einfachen Weg an die Karte zu kommen wollte ich eine WiFi-Karte nehmen, das hat aber (warum auch immer) nicht geklappt. Aber eventuell geht ja in diese Richtung noch was. Z.B. Mikro SD-Verlängerung nach draußen legen (knapp unter den Schaustoff, sodass die Karte sicher aber leicht zugäglich ist).

von

Das Problem mit einer WiFi microSD wird an fehlenden Treibern liegen, meines Wissens nach laufen diese Karten leider nicht standalone - eine solche Karte müsste einen eigen Microprozessor besitzen um gleichzeitig SD Karte, WiFi Client/AP und Server für SMB/FTP anbieten, ich bezweifel das dies in dem microSD Formfaktor machbar ist, ebenso muss ja irgendwie auch die benötigte Spannung sichergestellt werden.

von

2 weitere Kommentare anzeigen

Einen Kommentar hinzufügen

Eventuell kann man mit dem ChameleonMini[1] etwas Spaß am Gerät haben. Laut Beschreibung kann man damit ISO 15693 Tags emulieren. Und vielleicht sogar schreiben

[1]: https://github.com/emsec/ChameleonMini/w...

Update (01.03.2019)

Zwischenstand: weder der Chameleon Mini noch der Proxmark konnten einen Tonie auslesen. Mal sehen, wie es weitergeht.

War diese Antwort hilfreich?

Bewertung 0

Kommentare:

Sieht Interessant aus, das Chamäleon Projekt, danke für den Hinweis.

Allerdings unterstützt die Firmware nach meiner Auffassung 15693 Tags zZ noch nicht (die Hardware wohl). Man müsste selbst entwickeln was das Projekt natürlich gut unterstützt.

Die Entwickler der Box haben wohl nicht aus reiner Tollerei für den 15693 Standard entschieden ;) Hier gibt es aktuell marktseitig mE noch relativ wenig was mich eigentlich überrascht.

von

Der Chip lässt sich sehr wohl mit dem Proxmark3 auslesen.

Der Trick ist dass sich die SLI-Serien Chips durch Custom Commands in/aus den sogenannten Privacy Modus versetzen lassen. Hierdurch reagieren sie nicht mehr auf Standardkommandos aus dem 15693 bis ihnen das Privacy-Mode-PW übermittelt wird.

Der Tonie sollte aber durchaus auf "hf 15 cmd raw -c -2 02b204" (b2=Get random Number" reagieren, und zwar mit 5Byte (00 ="Command OK " xx xx="16 Bit random number", yy yy="CRC/X-25 Checksum"

Mit dieser Random Number kannst Du dem Chip nun das Password übermitteln...

von

Ok, das hat geklappt:

proxmark3> hf 15 cmd raw -2 -c 02b204

#db# SEND

#db# ....< 02 b2 04 8e 3c

#db# RECV

received 5 octets

00 6B DC D0 5B

Und wie geht es jetzt weiter? Ist das Passwort bekannt?

von

Wird warscheinlich für jeden chip n anderes geben. Aus der UID generiert oder so. Wäre natürlich top, wenns für jeden chip das selbe Passwort wäre. Ich würde gern auch helfen. Habe auch ein Proxmark3. Nur ist die Bedienung für mich ein Graus.

Ist denn schon bekannt, was beim draufstellen eines Tonies alles abgefragt wird? Nur die uid?

von

Also das Passwort ist 5B 6E FD 7F

Ist für alle Tonies dasselbe...

Hab ich mit nem Proxmark3 gesnifft

Nach dem Draufstellen wird die UID abgefragt und dann der Inhalt ausgelesen. Diese Daten müssen wohl zusammenpassen, sonst wird nichts abgespielt. Möglicherweise ist der Inhalt des Tonies aber nur eine Signatur, die aus der UID berechnet wird, um zu prüfen, ob der Tonie auch wirklich ein Tonie ist. Nach dem erstmaligen auslesen, wird nur regelmäßig ein Signal an den Tonie geschickt um zu prüfen, ob er noch da ist.

Habe es übrigens auch geschafft, mit einem ChameleonMini einen Tonie zu emulieren...

Musste die Firmware dafür aber ein gutes Stück erweitern

von

7 weitere Kommentare anzeigen

Einen Kommentar hinzufügen

Ich versuche aktuell mit einem PN5180 ähnlich dem Befehl unter Proxmark einen Befehl abzuschicken. Bisher aber ohne Erfolg. Hat sich damit schon mal jemand näher beschäftigt oder ist das mit dem PN5180 so technisch nicht möglich?

Für mein Vorhaben würde es völlig ausreichen, wenn ich eine eindeutige Nummer von dem Tonie zurück bekommen würde.

War diese Antwort hilfreich?

Bewertung 0

Kommentare:

Schick dem Tonie den Befehl 0xB2 0x04.

Daraufhin wird er dir 2 zufällig generierte Bytes schicken.

Diese 2 Bytes XORst du mit jeweils 2 Bytes des Passworts 0xB5 0x6E 0xFD 0x7F.

Dann sendest du dem Tonie 0xB3 0x04 0x04 und das geXORte Passwort.

Damit ist der Tag entsperrt und hört auf die normalen ISO15693-Befehle, z. B. Inventory, womit du die UID bekommst.

von

Hallo Milan,

Kannst Du mal einen Beispiel Code für die von Dir genannten Prozedur zur Verfügung stellen?

Gruss,

Gambrius

von

Beispielcode für was? Mit welcher Programmiersprache/welchen Geräten arbeitest du?

Bei mir sieht das z. B. so aus (C# + CR95HF-Reader aus diesem Kit https://www.st.com/en/evaluation-tools/m... über USB):

var password = new byte[] {0x5B, 0x6E, 0xFD, 0x7F};

var flags = CR95HF.GetFlags();

// Get Random Number

var response = CR95HF.SendReceiveISO15693(flags, 0xB2, 0x04);

var randomNumber = response.Skip(3).Take(response[1] - 4).ToArray();

var encryptedPassword = password.Xor(randomNumber.Concat(randomNumber).ToArray());

// Set Password

response = CR95HF.SendReceiveISO15693(flags, 0xB3, new byte[] {0x04, 0x04}.Concat(encryptedPassword).ToArray());

var tag = CR95HF.FindTag();

tag.Select();

von

Eine Arduino Implentierung für den PN5180 ist gerade in Arbeit,

siehe Issue "Read ISO-15693 icode slix password protected tag #17"

von

Hey Dirk,

Das sieht ja schon sehr vielversprechend aus. Das Dir fehlende 02er Flag war mir bereits im Kommentar von „datatype“ vom 03.03.2019 (weiter oben in diesem Thread aufgefallen.

Damit sollte ja nichts im Wege stehen, dass die Tonies demnächst mit nem Arduino und sehr günstigem RFID Leser ( Summe < 5€ beim vertrauten Chinesen) ausgelesen werden können.

Sehr gute Arbeit.

Gruss,

Gambrius

von

5 weitere Kommentare anzeigen

Einen Kommentar hinzufügen

Hallo zusammen, ist es denn möglich einen Zaubertonie zu kopieren um somit die Verbindung zwischen der Box und dem Chip herzustellen ? Wenn die Bauart des Chips bekannt ist wäre das mein erster Ansatz den Chip mit Kopie zu einend zaubertonie zu beschreiben dann in der Cloud bespielen.

lg Mark

War diese Antwort hilfreich?

Bewertung 0

Kommentare:

Hallo Mark,

das mit dem Kopieren dürfte schwierig werden, da jeder Chip im Produktionsprozess eine eindeutige ID zugewiesen bekommt. Du bräuchtest aber einen Chip mit genau der gleichen ID des Tonies, den du kopieren willst. Es gibt zwar Möglichkeiten diese Chips nachzubauen (ChameleonMini), aber das ist nicht ganz zaubertonietauglich. ;-)

von

Hallo Mark,

in anderen Foren wurde bereits bestätigt, dass sowohl eine Emulation mit einem ChameleonMini, aber auch eine vollständige Kopie des Chips selber umgesetzt wurde. Hierzu wird jedoch ein "MAGIC ISO15693 tag" benötigt. Dass ist ein RFID Chip bei dem auch die UID beschrieben, bzw. verändert werden kann.

Da ein Tonie, sowie auch die Kreativtonies, nur einen Verweis auf die Audiodaten in der Claud, bzw. auf der SD Card in der Toniebox darstellt, würde man durch eine Kopie des Kreativtonies auf den selben Inhalt des Originals verweisen. Dadurch gewinnt man keinen zweiten Kreativtonie, der individuell "beschrieben" werden kann.

Gruß,

Gambrius

von

Deine Ausführungen sind erst mal richtig. Allerdings zum besseren Verständnis: irgendein Magic (=UID kann verändert werden) ISO 15693 Tag reicht nichts aus.

Die Toniebox greift vom Prinzip wie folgt auf den Tonie zu:

Schritt 1: Sende get random number, bis ein Tag antwortet

Schritt 2: Sende ein Unlock

Schritt 3: Hat das geklappt, dann hole die UID (Inventory), selektiere den Tag und hole die 256 Byte Inhalt.

Schritt 4: Um zu detektieren wann der Tag entfernt wieder entfernt wird polle nun konstant die UID des Tags...

Das ganze scheitert bei den einfach beschaffbaren Magic ISO15693 (SLI) daran dass diese den privacy-mode gar nicht beherrschen. Man benötigt einen Magic SL2S5002 (SLIX-L). Dieser wurde mir bisher aus Asien zwar angeboten, aber nur in Losen ab 10.000 Stck... Die Anfrage nach ein paar Samples blieb unbeantwortet...

von

Hallo Matthias,

Es handelt sich hierbei zwar um den korrekten Chip (SLIX-L) jedoch fehlt diesem die „Magic“ Funktion, der veränderbaren UID. Dieses geht aus dem in Deinem Link anhängenden Datenblatt unter Kapitel 1.3 hervor, dass diese nicht veränderbar ist.

Eine mögliche Karte wäre die folgende:

https://www.rfxsecure.com/product/icode-...

Oder:

https://makarfid.com/products/uid-change...

Gruß,

Gambrius

von

Einen Kommentar hinzufügen

Hallo,

mich würde interessieren, was über den Inhalt der RFID Chips bekannt ist.

Mir stellt sich die Frage ob bei Produktion der Tonies die eindeutige UID auf dem TonieServer gespeichert und mit einem Inhalt / Hörbuch verlinkt wird, oder ob das Hörbuch über den Inhalt des RFID Chips verlinkt ist.

Anders herum gefragt: Kann man nur durch das Offline-Auslesen des Tonies erkennen, mit welchem Inhalt dieser verlinkt ist? Und wenn ja, wie ist diese Information auf dem Chip gespeichert?

Gruß,

Gambrius

+ UPDATE +

Mittlerweile sind etliche Themen rund um das Theme Tonie bekannt.

Weitere Informationen findet Ihr unter http://www.gt-blog.de

+ UPDATE +

War diese Antwort hilfreich?

Bewertung 0

Kommentare:

Der Inhalt des Speichers (soweit ich mich erinnere 16 Blocks á 4Byte) unterscheidet sich auch bei "identischen Tonies" (ich hab inzwischen eine kleine Bibliothek von Tonie-Dumps). Ich persönlich gehe davon aus, das es sich hier "nur" um einen Hash über UID plus ein Secret handelt um die Authentizität des Tonies sicherzustellen, der eigentliche Inhalt dürfte an der UID hängen...

Um hier weiterzukommen müsste man vermutlich die Software der Toniebox reverseengineeren um die Kommunikation mit der Cloud unverschlüsselt mitlesen zu können. Wer also "feinmotorischer" veranlagt ist als ich: Ich wäre an einem dump des SPI-Flashs (IS25LQ032) durchaus interessiert...

von

@datatype

Hast Du Dir ein Script zum Dummpen mit dem Proxmark3 geschrieben? Oder wie erstellst Du die Dumps?

Würdest Du dieses teilen? Hätte Interesse daran.

Gruß,

Gambrius

von

Hi, ja ein script für Proxmark wäre super. Danke für die gute Arbeit

von

Hallo akratzer,

Wie weiter oben beschrieben, ist der Proxmark3 aktuell nicht in der Lage einen Tonie aus dem PrivacyMode zu holen. Dieses ist jedoch von Nöten um den Tonie auszulesen.

Werde jedoch eine Anleitung in meinem Blog erstellen, in dem ich eine Methode erläutere, mit der man einen Tonie aus dem PrivacyMode holen kann, und diesen dann relativ einfach mit sem Proxmsrk Befehl „hf 15 dump“ auslesen kann. Werde Für die Fertigstellung meines Blogs die Zeit über die Feiertage noch benötigen.

Gruss,

Gambrius

von

Kleiner Tip. Den Tonie einfach ganz schnell und kurz auf die Box stellen und dann wieder sofort entfernen. Die Box kommuniziert mit dem Tonie und gibt diesen jetzt frei. Danach könnt ihr den Tonie einfach über den Proxmark auslesen oder auch einen Dump ziehen. Wichtig ist nur, dass das Timing stimmt - der Tonie muss ganz schnell wieder entfernt werden bevor der privacy Modus wieder aktiviert wurde.

von

1 weiteren Kommentar anzeigen

Einen Kommentar hinzufügen

Das weiß ich leider nicht. Aber kannst Du mir sagen, wie ich den vorhandenen Chip austauschen kann (z.B. gegen den eines normalen “Kreativ-Tonies”? Ist das für Laien machbar?

War diese Antwort hilfreich?

Bewertung 0

Kommentare:

Hallo Flimbe,

such mal nach dem Schlagwort Zaubertonie. Da gibt es etliche Anleitungen und auch Videos, wie die Chips entnommen und ggf. in andere Figuren eingesetzt werden können.

Gruß,

Gambrius

von

Einen Kommentar hinzufügen

Mal eine ganz blöde Frage -

Hat mal jemand probiert, der die Box schon im “Debugging Mode” ;-) hat, mit dem CC3200 Tool Files der Firmware auszulesen & zu modifizieren:

als erster Versuch wäre ein

# list file and filesystem statistics (occupied and free block sequences)   
cc3200tool -p /dev/ttyUSB2 list_filesystem

- um zu sehen, was drauf ist und wieviel platz dort noch ist. (ich tippe auf viel Platz ;-)

Man könnte dann zB. ins Mongoose OS booten, damit eine alternative Firmware (-Erweiterung) schreiben (was echt einfach ist) und so nen Tonie kann auf einmal viel mehr ;-)

Update (06.01.2020)

Sorry für meine langsame Kommunikation:

aus dem CC3200 Python Tool Beschreibung:

You need a serial port connected to the target's (dem Tonies) UART interface. For programming to work, SOP2 needs to be asserted (i.e. tied to GND) and a reset has to be peformed to switch the chip in bootloader mode. cc3200tool can optionally use the RTS and DTR lines of the serial port controller to automatically perform these actions via the --sop2 and --resetoptions.

Dann in Verbindung mit dem CC3200 Datenblatt auf S. 56 “Boot Mode List” UART Load

“Factory/Lab Flash/SRAM load through UART. Device waits indefinitely for UART to load code. The SOP bits then must be toggled to configure the device in functional mode.”

(Noch hab ich die Box nicht auf gehabt) - ich würde schauen, wohin der SOP2 (Pin 21) Anschluß auf der Platine hinführt - ich tippe auf den 10-poligen Anschluß bei Widerstand R395 - (dort müsste auch die serielle Schnittstelle anliegen, die das CC3200 Tool verwendet.) über den wahrscheinlich die Firmware bei der Produktion eingespielt wird - über den müsste man die Box dann Debuggen / neu programmieren können…

Hat schon jemand die Funktion dieser 10 Pins dokumentiert?

War diese Antwort hilfreich?

Bewertung 0

Kommentare:

Hallo Tonidws,

Schön, dass jemand neuen Input ins Thema bringt. Kannst Du mehr über den Debug Modus erzählen? Wie kommt man rein? Was kann man machen?

Gerne auch über eMail an: Gambrius@gmail.com

Gruss,

Gambrius

von

Würde mich auch interessieren.

von

Dito mich auch :)

von

Telegram: toniebox_reverse_engineering

von

Hallo TonieDerWeihnachtsschreck,

Mit dem CC3200Tools ist ein kompletter Dump der Firmware möglich.

Eine Anleitung hierzu findest Du in meinem Blog:

http://www.gt-blog.de

Dort ist auch die Pin-Belegung des 10 poligen Debugports erläutert.

Des Weiteren findest Du dort auch noch weitere Infos rund um das Thema Toniebox (Hardware, Software, RFID, usw.)

U.a. sind wir auch an einer alternativen Firmware dran. Unter https://github.com/toniebox-reverse-engi... sind auch viele Informationen zum aktuellen Stand der Themen zu finden.

Würde uns freuen, wenn wir weitere Unterstützung bekommen würden.

Gruss,

Gambrius

von

Einen Kommentar hinzufügen

In dem SPI Flash Dump sind einige interessante String zu finden. Hier eine kurze Auflistung.

Das Password (5B6EFD7F) findet man auch an einigen Stellen zusammen mit NFC commands.

 

Master Tonie MT0%d detected

Master Tonie tag removed MT01

 

Registration with PD cloud (/v1/pd/register) returned Downloading Opus file for MT02.

Please wait a moment... Waiting for download to finish... Downloading Opus file for MT03.

Please wait a moment... Check of downloaded file

 

invalid payload size

Could not read entire 32-byte payload from tag.  Only got bytes

CC3200 bootloader  Rebooting to complete WDT recovery...

SD clear skipped because not upsidedown

Both ears pressed for 10s / upside down / charger present -> factory reset requested

Both ears pressed for 10s / upside down / charger not present -> reset requested

 

 

Available debugging options:

 00000) Cancel

 00001) LED Test

 00010) Switch to Production Default (PD) mcuimg1

 00011) Switch to normal Firmware (FW) mcuimg2

 00100) Switch to normal Firmware (FW) mcuimg3

 00101) Extract sound files

 00111) List contents of SD card

 01000) Network information

 01010) Switch to station (STA) mode

 01011) Switch to access point (AP) mode

 01100) Erase SD card

 01101) Clear all WLAN profiles

 01111) Hibernate

 10001) HOS OTA Production Default

 10010) HOS OTA End-User Firmware

 11110) Normal reset

 11111) Factory Reset

War diese Antwort hilfreich?

Bewertung 0

Kommentare:

Hallo Modfreakz,

Wie können die Debug options getriggert / gestattet werden?

Melde Dich mal bitte unter gambrius@gmail.com.

von

Hi Gambrius,

nein hab es noch nicht geschaft. Wenn ich es richtig verstehe muss man zuerst in das Debug Modus rein. Das geht wahrscheinlich von aussen nur mit den Master Tonie.

Ich habe da zwar paar Ideen, komme aber mit den "default password" für Magic Karten nicht weiter und auf dem Proxmark Forum auch nicht.

von

Einen Kommentar hinzufügen

Für besonders interessierte, mit einer JTAG Hardware, z.B. J-Link SWD kann man sich die CC3200 Firmware extrahieren.

Block Image

War diese Antwort hilfreich?

Bewertung 0

Kommentare:

Hallo Modfreakz,

Eine detaillierte Anleitung zum Dumpen der Firmware der Toniebox incl. Bilder und Beschreibung der Debug Schnittstelle, die auf dem PCB der Toniebox gefunden werden kann, findet man unter http://www.gt-blog.de.

Ebenso werden dort weitere Details folgen, was im Reverse Engineering der Firmware alles gefunden werden konnte.

Gruß,

Gambrius

von

Hi Modfreakz,

hast du es geschafft, erfolgreich eine SWD oder JTAG Verbindung zum CC3200 aufzubauen? Falls ja, wie hast du das geschafft?

von

Einen Kommentar hinzufügen

Hallo zusammen,

die neuen Kreativ Tonies haben ja einen verklebten Chip. So das dieser fast nicht mehr ausgebaut werden kann.

Ist es bereits mit einem Tool möglich den Chip zu kopieren? So könnte man den Kreativ Tonie ganz lassen und trotzdem einen Zaubertonie bauen


Viele Grüsse

War diese Antwort hilfreich?

Bewertung 0

Kommentare:

Hallo Kai,

Der Tonie Chip an sich kann nicht 1zu1 kopiert werden, da die UID (Seriennummer des Chips) nur einmal vergeben wird.

Dennoch kannst Du eigene Chips / Tags verwenden.

Es wird u.a. Auf eBay Kleinanzeigen ein SLIX-L Tag verkauft, der mit der Toniebox kompatibel ist.

Wenn Du dann noch das Teddy Tool, oder das TeddyBench Tool vom Team RevvoX verwendest, kannst du mit diesen Custom Tags beliebig Audio auf Deine Box bekommen. Mit dem TeddyBench Tool kannst Du auch bereits auf Deiner Box vorhandene Tonie Hörbücher einen neuen Custom Tag zuweisen. Diesen Tag kannst Du dann in Deine Zaubertonies setzen.

Weitere Informationen findest Du in meinem Blog: http://www.gt-blog.de oder im GIT vom Team RevvoX unter http://github.com/toniebox-reverse-engin... sowie im Telegram Channel von Team RevvoX unter https://t.me/toniebox_reverse_engineerin...

Gruß,

Gambrius

von

Einen Kommentar hinzufügen

Antwort hinzufügen

Fabian Schreiber wird auf ewig dankbar sein.
Statistik anzeigen:

Letzten 24 Stunden: 0

Letzten 7 Tage: 279

Letzten 30 Tage: 2,237

Insgesamt: 54,776