加载失败
本文起因是对 Yaesu FT‑70D(一款 Yaesu 生产的业余无线电手持电台)固件加密进行逆向的讨论。评论把话题扩展到业余无线电与射频逆向工程的广泛经验:有人分享了体积极小却能实现数十公里链路的 ELRS/LoRa 模块,也有人指出手机基带(modem)拥有独立强力处理器且 LTE/5G 的编码接近香农极限。讨论同时触及现实障碍:厂商将功能封装在没有公开 datasheet 的 ASIC(如 BK4819、Si4732)或使用受专利限制的编解码器(如 AMBE‑2020),以及厂商“自研加密”常常既不安全又不透明。还出现了两极化案例:有的加密只是循环 XOR,很快破解;有的则需要反汇编大量固件,导致工作量差异巨大。
评论者普遍认为业余无线电对有软件背景的人是进入嵌入式与射频的好入口,并能带来意外的职业收益。多条评论列举了极端实例:ELRS(ExpressLRS)发射/接收模块不到1克就能维持数十公里链路,有些带板载天线的模块约1厘米边长即可超过10km;有人回忆用50mW、在10MHz频段的气球发射器被追踪到数千英里。另有例子显示 LoRa 在极低信噪比下仍能解码(例如 -26 dB SNR),评论也提醒现代手机有单独强力的 modem 芯片和庞大软件栈,LTE/5G 的编码调制已逼近香农极限,这些都说明射频既有简单上手的乐趣也有复杂高深的一面。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8]
多位评论指出,许多现代含复杂功能的业余电台把关键功能封在没有公开 datasheet 的黑盒 ASIC 中,举例包括 BK4819(被指用于 Quansheng 的电台)和 Si4732。专有语音编解码器 AMBE‑2020 因为专利和许可限制常被用于 DMR 等系统,导致替换或自由实现变得困难。社区能对 Quansheng 芯片做出大量逆向成果被认为是“奇迹”,但他人也提醒若想彻底可控最好取得相应执照或从套件/从零开始自建;同时有人指出 SDR 本身也并非简单易入门的万能解法。
有人分享了看似“加密”但实际上非常简单的案例:Yamaha 的 midi 文件只用一个固定 256 字节块循环 XOR 掩码,因此破解极为迅速。相对地,也有委托任务从一天的估计变成两个星期的噩梦:设备没有独立配置协议,内部参数随固件更新被覆盖,只能反汇编大量固件来找出写入方式。评论给出的实际教训是:估算工作时把关键假设写清楚,万一假设不成立可以重新谈判或调整范围。
有评论直接嘲讽硬件厂商频繁“自研加密”,并认为多数实现粗糙,这恰好让逆向工作可行且相对容易。评论指出如果厂商真正懂得做好加密和固件保护,社区可能很难破解设备;当前的可逆性部分源自厂商缺乏安全审计或糟糕实现。这一观点与对黑盒 ASIC、专利编解码器的讨论相互呼应:既有封闭的、难以拓展的部件,也有做得不专业的保护措施,形成了逆向与改造并存的生态。
AMBE‑2020 vocoder: AMBE‑2020:一种专有的语音编解码器(vocoder),常用于数字语音系统(如 DMR);受专利与许可限制,难以自由实现或替换。
LoRa: LoRa:一种长距离、低功耗的广域物理层调制技术,常用于物联网与遥测。特点是能在极低 SNR 下解码,实现远距离低速数据链路。
ExpressLRS (ELRS): ExpressLRS(ELRS):一个开源、低延迟的遥控链路与射频方案,常用于无人机/遥控模型,能实现超小体积与长距离链路。
BK4819: BK4819:一种集成射频/基带芯片,出现在部分廉价手持电台实现中;缺乏公开资料使得该芯片在逆向时表现为黑盒。
Si4732: Si4732:Silicon Labs 系列接收/调谐相关芯片的型号或近似参考,常用于无线接收设备,但在具体实现上也可能作为无法深入的封闭模块出现。