[Update 28.07.2024]
Der Konfigurator für den 4 Pro Gen1 ist jetzt hier kostenfrei zum selbst aufspielen verfügbar.
https://nextgenfw.pythonanywhere.com/
Viel Spaß!
[17.05.2024]
In dieser Woche habe ich den Xiaomi 4 Pro unter die Lupe genommen und untersucht, ob ein Tuning über 25 km/h möglich ist. Aktuell lässt sich die Geschwindigkeit nur mit einem originalen EU-Controller realisieren. Mit diesem erreicht der E-Scooter die 25 km/h, und sowohl die MiHome App als auch der Tempomat funktionieren einwandfrei. Einige Controller sind noch in meinem Shop und auf eBay verfügbar.
Ich möchte mehr als nur 25 km/h!
Der direkte Zugang über das Dashboard des Scooters ist aufgrund der neuen Verschlüsselung wie beim 1S und Pro 2 ab BLE 15x nicht mehr möglich, also wende ich mich einer rabiaten Methode zu: dem Auslesen, Modifizieren und Zurückschreiben des Speichers.
Auf der Suche nach dem SWD-Anschluss am Controller, um direkten Zugriff auf den Microcontroller zu erhalten, entfernte ich großflächig die schwarze Beschichtung – leider ohne Erfolg. Nichts zu erkennen.
Erst nach langwieriger Arbeit mit einem Bürstenaufsatz für den Dremel kam der gesuchte Anschluss zum Vorschein. Ich lötete eine Stiftleiste an und verband den ST-Link. Zwar gingen bei der Entfernung der Beschichtung einige SMD-Bauteile verloren, doch mein Ziel war klar: Ich benötigte nur Zugang zum Microcontroller, denn mit 20 km/h ist der Scooter praktisch unbrauchbar.
Der Microcontroller, ein STM32Fxx Cortex M3, wurde vom STM32 ST-LINK Utility erkannt – ein erster Erfolg!
Doch beim Versuch, den Speicher auszulesen, stieß ich auf eine Hürde: Read Out Protection war aktiviert. Eine RDP Level 1 Sicherung verhinderte das Auslesen mit externen Tools, ich erhielt lediglich nur 0xff statt der Daten. Ein Neubeschreiben war möglich, brachte mich aber nicht weiter.
Enttäuscht legte ich den Controller zu den anderen Fehlschlägen. Ich entschied, meine Zeit nicht länger mit dem 4 Pro zu vergeuden. Zwar gäbe es noch zwei Optionen, doch der Aufwand steht in keinem Verhältnis zum Nutzen. Die erste Möglichkeit wäre, ein OTA-Update abzufangen, anzupassen und dann direkt per ST-LINK aufzuspielen – eine Methode, in dem ich keine Erfahrung habe. Die zweite Möglichkeit wäre, das RDP-Level auf 0 zu reduzieren, was jedoch einen enormen Aufwand bedeutet.
https://embedthreads.com/wp-content/uploads/2023/12/Microcontrollers-Firmware-Protection.pdf
So lasse ich das Projekt vorerst ruhen und werde mich vielleicht in Zukunft mit der OTA-Update Option beschäftigen, da ich noch zwei Controller ohne Update hier habe.
[Update 27.05.2024]
Möglicherweise lässt sich die RDP Level 1 umgehen.
https://github.com/CTXz/stm32f1-picopwner
Ich bleibe doch erstmal beim Thema und warte bis der bestellte Pico da ist.
[Update 20.06.2024]
Mit HTTP Toolkit konnte ich die Firmwaredateien vom 4 Pro Herunterladen und mit https://github.com/BotoX/xiaomi-m365-firmware-patcher/tree/master/xiaotea entschlüsseln.
In den nächsten Tagen werde ich diese Software zurück auf den Controller spielen und Anpassen.
Und geschafft 🙂
Der 4 Pro Gen1 schafft 30kmh.
Die Software lässt sich per ST-Link aufspielen.
07c93341-32d0-4667-ae83-47899193a250
896e110a-605c-4710-8bd6-3c2aa03d6042
Hi hast du schon neue Versuche gestartet oder was aktuelle gehört ob es möglich ist beim pro ultra? Mit freundlichen Grüßen
4 Ultra geht. https://www.jupoma.de/neuer-xiaomi-4-ultra-tuning/
Pro Max und Pro Plus habe ich noch nicht ausprobiert.
Hallo,
Gibt es schon was neues diesbezüglich zum 4Pro 2nd gen,?,
Gruß Marco
Würde mich auch intressieren.Mit 20 km/h Berghoch wie runter macht nicht wirklich Spass
Ich wäre mit 25km/h schon glücklich. Die EU Version in Spanien fährt ja 25 km/h. Drücke die Daumen das da bald was geht.
Mein derzeitiger Stand ist das ich an die OTA Firmware vom 4 Pro gekommen bin. Leider reicht das OTA Update nicht da der Bootloader am Anfang und am Ende die Seriennummern IDs etc fehlen.
Heute ist das Board zum Hacken angekommen, das ist der letzte Versuch RDP zu umgehen.
Drücke fest die Daumen. Bestelle sofort wenn es funktioniert.
Ich schließe mich an und drücke ebenfalls die Daumen und wünsche viel Erfolg. 🙂
Der Hackversuch von Brightway Scootern der auf diesem Blog geschildert ist, zeigt einen interessanten Angriffsvektor.
https://robocoffee.de/?p=436
Hier seine Zusammenfassung (englisch):
In this research, I had an extensive look at the hardware, software and security implemented by Brightway, the new Xiaomi scooter supplier, by examining their 3 Lite scooter model. I could fully dump both the BLE and MCU flash content, get a glimpse at the OTA procedure and the command & communication protocol used by in the 3 Lite.
My conclusion is that Brightway scooters, at the example of the 3 Lite, are secure from hostile takeover by a third party, thanks to the use BLE authentication using the secure chip, but open for your own modifications!
I have shown that both chips can be (re-)programmed through the respective (enabled) SWD port: I was able to flash a modified 3 Lite BLE to an identical Xiaomi BLE module, which suggests that BLE custom firmware is possible on the actual device. I was also able to flash (and re-flash) the original 3 Lite MCU firmware to an identical LKS32 MCU, which suggestes that MCU custom firmware is possible.
At the time of writing, I could not discover any security exploits that would warrant a notification of the manufacturer. As for the security flaws, such as missing encryption and read-out protection of the firmware files, I assume that the manufacturer is well aware thereof. Please understand that I will not go into detail of the exact flashing procedures. Further, the question how regional restrictions such as speed limits can be removed are not the scope of my research.
Ich schließe mich beim Interesse der Frage bezüglich des 4 Pro 2nd Generation ebenfalls an.
Idealerweise ohne EU Controller bzw. Ohne blinkendes Bremslicht.
ich wäre auch daran interessiert Xiaomi Pro 4 Gen2
Moin moin, gibt’s ein wenig Licht am Horizont?
Ich wäre auch sehr daran interessiert den Xiaomi Pro 4 Gen2 zu tunen.
Schließe mich beim Xiaomi 4 Pro 2 Gen an und drücke die Daumen! Beste Grüße
также согласен с вопросом, касающимся 4 Pro 2-го поколения.
*
Gibt es schon ein Update zum 4pro gen2 Controller?
Die Dienstleistung für den 4 Pro Gen2 würde ich auch direkt in Anspruch nehmen, wenn verfügbar! Hoffe das klappt 🙂
Neuigkeiten für den Pro Max 4?
Macht wirklich kein Spass mit 20 km/h
Hab nur 20 EU 4 Pro Max Controller hier liegen, bin noch nicht dazugekommen die im Shop und auf eBay reinzusetzen.
Kannst du denn abwägen, wann du es reinstellst?
Kommentar *Whoa. I was losing my faith someone would be able to achieve this. Thank you so much!
One question: Would the modified firmware allow to chain a secondary battery?
Yes, it is possible to remove the charging mode.
Hi, thank you for your answer and again for your efforts.
Moin, gute Arbeit.
Habe nun versucht, das Ganze aufzuspielen. Nun zeigt mir der Scooter aber immer 0 km/h an und auch die Akkuanzeige ist weg. Scooter lässt sich einschalten, jedoch nicht mehr ausschalten (außer man trennt ihn vom Strom).
Er fährt also nicht mehr. Was muss ich ändern? Hat jemand eine Idee, an was das liegen könnte?
Ps. auf der MI FW Seite gibt es nicht das neueste Firmware-Update. Hier denke ich, muss man aufpassen. Hatte auch noch die auf der Seite, die passte soweit.
Ps der Scooter aktiviert auch BT wenn ich die App öffne, jedoch verbindet er sich nicht.
Habe das gleiche versucht und habe das selbe Problem…..
Hast du mittlerweile eine Lösung gefunden?
Hallo, ich bin ganz neu dabei und habe mir meinen ersten E-Scooter gekauft. Deswegen evtl. die dumme Frage. Funktioniert das Tuning auch mit dem 4 Pro Plus?