RP ✔️ NAVEE ST3 Pro Unlock Tutorial! 40 km/h!

Olli_69 schrieb:
Klar, die ändern die Gesetze, wenn sich genug Leute beschweren... 🤣🤣🤣🤦🤦🤦
Zum Vergrößern anklicken....
Er meinte, dass der Hersteller die Slider-Option so erweitern soll, dass man auch 20 km/h auswählen kann nicht nur 25, 32 oder 40 km/h.

Ich habe dazu schon auf r/Naveetech_US gepostet (https://www.reddit.com/r/Naveetech_US/s/wkawkBR4gl), und meine Beschwerde wurde bereits weitergeleitet. Wenn jetzt noch mehr Leute dort kommentieren, setzen die das bestimmt um.
 
github.com

flashmonkey/README_DE.md at main · pepperonas/flashmonkey

Navee ST3 Pro - Custom Android App, Reverse Engineering & BLE-Protokoll-Dokumentation - pepperonas/flashmonkey
github.com github.com

Wer Bock hat kann in meinem Projekt gern weiter machen. Ich gebs auf und würde nach knapp 4 Wochen ohne funktionierende Lösung das Teil am liebsten in der Spree versenken.

Was ich in 4 Wochen alles probiert habe:
  • UART-Protokoll komplett reverse-engineered (Frame-Format, Checksummen, 3 Frame-Typen dokumentiert)
  • BLE-Protokoll dekompiliert (AES-128 Auth, 5 Keys, alle CMDs)
  • UART MitM mit Arduino — 1168 Frames modifiziert, Controller ignoriert alles
  • OTA Firmware-Patching — 8 verschiedene Checksummen-Algorithmen, alle rejected
  • Navee APK dekompiliert, DFU-Protokoll vollständig analysiert
  • 32 BLDC-Firmwares von der Navee API heruntergeladen (DE + Global)
  • Speed-Patch-Stelle in Ghidra gefunden: Offset 0xF074, MOV R0, #22 — ein Byte!
  • Dashboard-Chip identifiziert (Realtek RTL8762C), rtltool getestet
  • BLDC-DFU: 14 Varianten probiert, Block 1 immer NAK
  • Type-Byte-Trick: 369/369 Blöcke ACK'd, aber Bootloader-Signatur blockt
  • Region-Byte im BLDC-Controller identifiziert: 0xCF (DE) vs 0xB7 (Global)
  • Gelbe Ader als separaten Controller-RX identifiziert und Arduino Dashboard-Replacement gebaut
  • Ein Dashboard dabei geschrottet, BMS einmal resettet, alles zweimal gelötet
Ergebnis: Navee hat den ST3 Pro D so abgesichert dass kein Software-Unlock möglich ist. Das Speed-Limit sitzt im Controller-Flash hinter einer kryptographischen Signatur.

PS: Habe in der Vergangenheit schon Autos aus allen Herren Ländern reverse engineered - aber was Navee hier vollbracht habt ist ne Nummer. Fängt mit verklebten Dashboards an, zieht sich über zahlreiche regionale Firmware-Versionen und endet schließlich mit viel zu kurzen Kabelsträngen und einem Akku, den man nicht vom restlichen System trennen kann ohne Kabel zu zerschneiden.
Respekt! So gesehen wird hier Brandgefahr eher in Kauf genommen als, dass nationale Geschwindigkeitsbestimmungen von 22 auf 30 km/h überschritten werden.
Burning down the House (
) 🫣
 
Zuletzt bearbeitet:
iNaWaR schrieb:
Er meinte, dass der Hersteller die Slider-Option so erweitern soll, dass man auch 20 km/h auswählen kann nicht nur 25, 32 oder 40 km/h.

Ich habe dazu schon auf r/Naveetech_US gepostet (https://www.reddit.com/r/Naveetech_US/s/wkawkBR4gl), und meine Beschwerde wurde bereits weitergeleitet. Wenn jetzt noch mehr Leute dort kommentieren, setzen die das bestimmt um.
Zum Vergrößern anklicken....
Und hierzu: Ich bin mir ziemlich sicher, dass die da gar nix machen werden. Wie oben beschrieben haben die WIRKLICH WIRKLICH viel Manpower in die Hand genommen um das Speedlimit so zu setzen wie es für den jeweiligen Markt vorgesehen ist.
Ich war hier im Vorfeld auch erst optimistisch und dachte "Come on, das ist ein kleiner E-Scooter - da findet man binnen 1-2 Tagen ne schnelle Lösung" -> nein! echt nicht.
Vermutlich wirds mit jedem Update krasser - aber lass mich gern vom Gegenteil überzeugen :-)
 
mrx3k1 schrieb:
Und hierzu: Ich bin mir ziemlich sicher, dass die da gar nix machen werden. Wie oben beschrieben haben die WIRKLICH WIRKLICH viel Manpower in die Hand genommen um das Speedlimit so zu setzen wie es für den jeweiligen Markt vorgesehen ist.
Ich war hier im Vorfeld auch erst optimistisch und dachte "Come on, das ist ein kleiner E-Scooter - da findet man binnen 1-2 Tagen ne schnelle Lösung" -> nein! echt nicht.
Vermutlich wirds mit jedem Update krasser - aber lass mich gern vom Gegenteil überzeugen :-)
Zum Vergrößern anklicken....
Das hat nichts mit der maximalen Geschwindigkeit zu tun. Es geht um die minimale Geschwindigkeit im Sportmodus. Wenn man angehalten wird, könnte man einfach per App auf 20 km/h runterstellen aber diese Option gibt es leider nicht. Man kann aktuell nur 25 km/h im Sportmodus einstellen. Genau deshalb habe ich das Problem auch auf Reddit gepostet, damit die Firma diese Funktion in die App einbaut.
 
iNaWaR schrieb:
Das hat nichts mit der maximalen Geschwindigkeit zu tun. Es geht um die minimale Geschwindigkeit im Sportmodus. Wenn man angehalten wird, könnte man einfach per App auf 20 km/h runterstellen aber diese Option gibt es leider nicht. Man kann aktuell nur 25 km/h im Sportmodus einstellen. Genau deshalb habe ich das Problem auch auf Reddit gepostet, damit die Firma diese Funktion in die App einbaut.
Zum Vergrößern anklicken....
Hab dir die App (Android) mit der Funktion gebaut - langsamer setzen sollte kein Problem sein.
Kann aktuell die App nicht testen. da mein Scooter noch auseinander gebaut ist (mein allerletzter Versuch für den Unlock ist den Controller umzuflashen).
Wenn du willst probiere mal aus ob du damit weiterkommst. https://github.com/pepperonas/flashmonkey/releases (sollte keinen Unterschied machen ob du den debug oder signierten release Build installierst - nur unsigned Release wird nicht klappen).

New Feature​

  • Manual Speed Slider in the Max Speed card
  • Set any speed value from 5 to 60 km/h (not limited to preset buttons)
  • Useful for setting lower speeds in SPORT mode (e.g., 20 km/h) which the official app does not allow
  • Uses BLE command 0x6E (same as official app preset buttons)
Disclaimer: Auch wenn ich zu 99,9% sicher sagen kann dass die App keinen Schaden am Roller hervorrufen wird (wird einfach nur ein anderer Wert ins Dashboard geschrieben 1:1 wie es die originale App auch machen würde), übernehme ich dennoch keine Haftung.
 
  • Hilfreich!
Reaktionen: iNaWaR
Kleines Update nochmal von meiner Seite:
Ich habs jetzt final aufgegeben. Auch den Controller zu flashen ist nicht möglich, da die Pads zum Auslesen via UART nicht zugänglich sind.
Die auf dem Bild (links) sind für irgendwas - aber nicht für die Firmware.
Navee war sogar so groß die Beschriftung der MCU runterzuschleifen, sodass man nur raten kann um welchen Chip es sich handelt (siehe rechtes Bild) 🙄
Auch die Platine herauszunehmen um mal die Unterseite zu inspizieren ist Dank gefühlten 500g Epoxidharz nicht möglich.
Und so könnte ich noch 20 weitere Dinge nennen, das Reverse Engineeren verhindern.
Für einen 600€ Scooter haben die Geschütze aufgefahren, regelrecht filmreif 🥳

1775773868467.webp
1775774478175.webp
 
Zuletzt bearbeitet:
  • Liebe zum Detail! (2 Punkte)
Reaktionen: Heiko S.