29.06.2026 06:37
Пост канала «Hacking & InfoSec | Кибербезопасность, Взлом и Анонимность. Хакерские атаки и Защита. OSINT, Pentest, DarkNet News. Вирусы, Сети и Приватность.» от 29.06.2026
🔐 Quarkslab разобрали защищённый чип Xiaomi MJA1
Исследователи Quarkslab провели black-box анализ проприетарного secure chip MJA1, который используется в свежих камерах Xiaomi для защиты чувствительных данных и коммуникаций устройства.
Документации по чипу почти нет, поэтому исследователи пошли классическим путём железячного реверса:
• вскрыли устройства Xiaomi Outdoor Camera BW300 и Camera Base Station;
• нашли MJA1 на платах;
• сняли обмен между SoC и чипом через логический анализатор;
• выяснили, что связь идёт по I2C на адресе 0x2A;
• сдампили flash-память устройств;
• разобрали miio_client, который общается с secure chip;
• восстановили формат команд и CRC16;
• перебрали ID команд и нашли недокументированные возможности.
Удалось определить команды для чтения данных, генерации случайных чисел, работы с ECC-ключами, подписью, проверкой подписи и установлением общего секрета. Также нашли скрытую команду 0x06, которая умеет записывать данные, но только в пользовательскую зону. Сертификаты, product data и приватные ключи снаружи не читаются и не перезаписываются.
Главный вывод: на уровне протокола MJA1 выглядит довольно крепко. Приватные ключи не выходят наружу, важные зоны защищены от записи, некорректные аргументы отбрасываются.
Но это только «парадный вход». Дальше исследователи предлагают копать глубже: fault injection, voltage glitching, EM-атаки и side-channel анализ ECC-операций.
Хороший пример того, как исследовать закрытый secure element почти с нуля: от пинов на плате до карты команд и проверки границ безопасности.
https://blog.quarkslab.com/black-box-probing-a-security-analysis-of-xiaomis-mja1-secure-chip.html
👉 @thehaking
Исследователи Quarkslab провели black-box анализ проприетарного secure chip MJA1, который используется в свежих камерах Xiaomi для защиты чувствительных данных и коммуникаций устройства.
Документации по чипу почти нет, поэтому исследователи пошли классическим путём железячного реверса:
• вскрыли устройства Xiaomi Outdoor Camera BW300 и Camera Base Station;
• нашли MJA1 на платах;
• сняли обмен между SoC и чипом через логический анализатор;
• выяснили, что связь идёт по I2C на адресе 0x2A;
• сдампили flash-память устройств;
• разобрали miio_client, который общается с secure chip;
• восстановили формат команд и CRC16;
• перебрали ID команд и нашли недокументированные возможности.
Удалось определить команды для чтения данных, генерации случайных чисел, работы с ECC-ключами, подписью, проверкой подписи и установлением общего секрета. Также нашли скрытую команду 0x06, которая умеет записывать данные, но только в пользовательскую зону. Сертификаты, product data и приватные ключи снаружи не читаются и не перезаписываются.
Главный вывод: на уровне протокола MJA1 выглядит довольно крепко. Приватные ключи не выходят наружу, важные зоны защищены от записи, некорректные аргументы отбрасываются.
Но это только «парадный вход». Дальше исследователи предлагают копать глубже: fault injection, voltage glitching, EM-атаки и side-channel анализ ECC-операций.
Хороший пример того, как исследовать закрытый secure element почти с нуля: от пинов на плате до карты команд и проверки границ безопасности.
https://blog.quarkslab.com/black-box-probing-a-security-analysis-of-xiaomis-mja1-secure-chip.html
👉 @thehaking