刚买回来一个智能音箱和博联,需要给音箱和博联配置联网,音箱需要先打开蓝牙,然后在手机app中填写wifi的ssid和密码,通过蓝牙发送到音箱,音箱收到后连接到wifi。
博联就比较奇怪,进入联网模式以后,手机app上填写wifi的ssid和密码后,直接点配置按钮后,博联就连上了。要知道手机并没有与这个设备建立连接,ssid和密码不知道怎么就莫名其妙的被发送过去了。
仔细想了一下,应该是通过wifi信号发送的,wifi本质上是一种射频信号,手机可以发送wifi信号,博联上也有wifi芯片,理论上可以直接接受到手机的wifi信号而不需要经过路由器。但究竟是怎么发送过去就不得而知。
经过一番搜索后得知,这种技术叫做easyconfig或者smaterconfig、SmartConnect,不同的地方叫法不一样,最早应该是TI公司提供给博联的。
原理就是手机发送udp广播或者组播。博联的无线网卡支持混杂模式,可以接收到环境中所有的wifi数据包,这样手机在发送udp报文后就会被博联捕获到,但由于和路由器直接通讯的数据是加密的,博联能捕获到也并没有什么卵用,这种的技术关键就在于使用长度字段来传递ssid和密码信息。只需要规定编码方式。
知道原理后,是否可以在音箱上实现呢?
智能音箱是安卓系统,有root权限,并且知道使用的wifi芯片为ap6210(BCM43362)。
但并不知道音箱的wifi芯片是否可以可以接受到环境下所有的wifi数据。到博通(cypress.com)的网站上找了很久,发现有一个monitor模式,使用论坛上下载的wl工具可以开启monitor模式,打开monitor后,使用tcpdump抓包就会收到很多数据。
所有如果要在音箱上也实现easyconfig就需要开启monitor模式然后抓包,然后再根据包的长度通过某种规则传递ssid和wifi密码。
开启monitor模式可以通过执行wl指令(或者直接发送ioctl命令)。抓包可以使用开源的tcpdump,但是通过数据包长度编码还没有思路。
再查看easyconfig原理时,发现微信有一个airkiss工具,提供一个.a的静态库,开启monitor模式或混杂模式后,将收到的数据包交给airkiss,airkiss会处理解析数据的工作,airkiss也提供手机端的发送程序。
因此要实现easyconfig只需要实现如下功能就可以:
1.打开/关闭无线网卡monitor模式
2.使用tcpdump(libpcap)抓包
3.讲抓包后收到数据后再调用airkiss的函数
4.手机端实现发送ssid和密码的app,可使用微信airkiss提供的app测试
5.实现应用层控制开启/关闭,收到密码后联网,联网成功后通知手机端等功能
由于安卓系统中并没有monitor模式或混杂模式相关的函数,也无法实现抓包的功能,所有不能使用普通的安卓应用来实现这个功能,使用ndk也没用,主要原因是android应用的进程最高只有system权限,而开启monitor模式需要和驱动层通讯需要有root权限。
所以需要使用linux下的可执行程序实现,和ndk类似,只是不生成.so,编译方法也需要做一些修改。另外这个程序还需要与应用层通讯,可以使用socket。
liunx下可执行程序。
众所周知安卓是基于linux系统实现,但很少有人在安卓系统下开发linux程序,一般编译系统是会设计到,相关应用也会编译系统时一起编译。
开发linux上的程序,需要用linux系统,使用gcc编译,另外由于音箱是arm架构还需要使用交叉编译,但使用通用的arm交叉编译工具编译的可执行程序并不能再音箱上运行,具体原因未知,查看资料后说要使用从ndk中的分离交叉编译工具,下载linux下的ndk并分离出交叉编译工具后可编译生成在安装系统上运行的可执行程序。
如果交叉编译已经如何分离ndk中的编译工具可自行百度。
app_process
之前写过在如何在安卓上运行java程序,不是一个apk而是命令行程序,另外还有如果弹出一个非比寻常的窗体。
android下可以通过命令行运行java代码,就像windows或者linux下使用java命令运行后缀为.jar的java程序,只是android上的命令不是java而是app_process jar包的格式为dex。
app_process是一个命令号工具,作用就是启动jvm加载并执行dex文件。android系统启动时根据传入的参数会启动zge进程zgz进程负责创建所有的安卓应用的进程。
最近又看了之前的博文,又有个新的发现,那就是这个程序是有root权限的。普通的安卓应用都是由zg fork出来的,最高只有system权限。system权限可以修改系统的设置,但无法与驱动层通讯。如果linux下可执行程序,运行程序时如果是root权限,那么这个进程也是root权限。使用app_process启动的java程序时也是一样。
所以也可以java来实现这样的程序,因为java的语法比c简单,如果程序比较复杂可以考虑使用java实现,由于一键配置的程序并不复杂所以并没有用java是用c++实现的。
如果开启无线网卡monitor模式
继续上面实现easyconfig的步骤,首先需要开启网卡的monitor模式。
查看资料linux下有相应的工具可以实现,但这些命令在android系统上并不存在,我也尝试将工具移植到android系统上,但编译不了,总各种各样的问题。
因此我需要去找这个monitor模式究竟是在那里控制的。
一开始我认为对wifi数据的处理是在wifi驱动层实现的,音箱的wifi芯片默认情况会接受环境下所有的数据包,驱动程序会根据数据包的目的地址过滤不属于自己的数据。
于是我就去看无线网卡驱动,根据芯片型号,找到一份liunx的源码,bcmdhd就是wifi的网卡驱动,重新编译后尽然可以运行,于是找到接受数据的地方,并添加打印函数,cat /proc/kmsg 可以看到驱动层的日志。 可惜的是,驱动层并没有所有的wifi数据,只有他自己的数据。
对wifi数据的过滤是在wifi芯片中完成的,通过查看bcm43362的资料得知,wifi芯片中也有处理程序,建立连接数据加密等操作都是由wifi芯片处理的,驱动程序只负责与wifi芯片进行通讯将数据发送到上层。
实际上处理建立连接操作(过滤不属于自己的数据)是mac层实现,mac层的实现方式有2中,softmac和fullmac,softmac就是我一开始所认为的那样由驱动程序过滤不属于自己的数据,驱动层可以捕获到其他设备发送出去的数据。fullmac是由wifi芯片来实现mac层的功能。而bcm43362使用的是fullmac,不能在驱动层捕获数据。
bcmdhd驱动会加载一个bin文件,这个bin文件就是wifi芯片里的程序,wifi芯片里有mcu就相当于一个嵌入式系统。我想是不是可以修改这个wifi里bin程序呢,这个bin文件又是从哪里来的。
通过搜索得知bcm有一个用于开发的sdk winced,于是我又去下载这个winced(博通的wifi业务已经买给了cypress要在cypress的网站上下载)。
但实际上这个winced并没有什么卵用,这个是给嵌入式设备用的,跟wifi芯片里的mcu没有关系,这个是esp8266不一样。
幸运的是cypress的论坛上有linux/android下如何使用他的wifi模块的内容,他们还提供用于调试的命令行工具名字叫wl,把这个wl push到音箱上是可以运行的,使用 "wl monitor on/off",可以开启/关闭调试模式。
开启monitor模式后,使用tcpdump抓包后可以看到有一堆数据出现,关闭后就没有任何数据(音箱没有联网),这就表示第一步已经完成,无线网卡可以收到环境中所有的数据包。
那么接下来的问题就是如果抓包
其实抓包比较简单,tcpdump是有源码的,tcpdump是基于libpcap的,实际上使用pcap就可以了,下载pcap的源码,交叉编译可得到静态文件libpcap.a,在应用中引入这个静态文件 。调用libpcap中的函数就可以实现抓包。
理论上libpcap.a放到ndk中,打包的apk中,普通的apk程序也可以实现抓包,但由于权限的问题,libpcap的函数会执行失败,如果可以让安卓进程有root那样就可以执行,前面说过普通的安卓应用最高只有system权限。
前面2步实现之后,后面就很容易,到这里再加入airkiss的静态库,将抓到的数据包传入airkiss,再用airkiss提供的测试工具发送ssid和密码,使用printf打印就可以看到,手机端发送过来的ssid和密码。
现在智能音箱算是比较流行,也与一些卖开发板的,我知道的若琪的开发板也是采用博通的wifi芯片,一般给音箱配置联网都是通过蓝牙或者通过建立ap的方式,使用easyconfig的方式会更加方便。