El dispositivo desmontado

El dispositivo desmontado

El dispositivo colocado en el vehículo

Después de revisar las imágenes y estudiar los circuitos se pueden extraer las siguientes conclusiones:

¿Qué contiene el circuito?
El circuito se compone de cuatro bloques funcionales: (a) un regulador de voltaje, (b) un módem GSM/GPRS de Wavecom/Sierra Wireless, (c) un receptor GPS de U-blox y (d) un microcontrolador (MCU) posíblemente de Renesas. El circuito tiene dos antenas separadas para interactuar con el operador de telefonía móvil (Movistar) y con los satélites GPS.

¿Es un sistema de última generación?
No, a juzgar por el tipo de componentes que se incluyen en el rastreador, creo es bastante antiguo (5-7 años) ya que el nivel de integración de circuitos de GPS/GSM disponible en los últimos años en el mercado es mucho mayor. Por ejemplo, no incluye una antena combo GSM/GPRS o chips que integran GPS con GPRS como el GE864-GPS.

¿Se necesitan un grupo de baterias tan grande?
Aunque el microcontrolador incluido en el dispositivo tiene un bajo consumo de energía y funcionalidades de "modo en espera", hoy hay un montón de mejores alternativas de bajo consumo. Esto me hace creer que el dispositivo no fue originalmente diseñado para ser conectado a una batería pequeña. Otras alternativas como las basadas en procesadors ARM Cortex de 32-bits son mucho mśa comunes.

¿Qué hacen esas baterías de litio?
Las dos baterías de litio presentes en la placa proporcionan energía para los Relojes en Tiempo Real (RTC) del módulo GPS (U-blox Neo) y para el microcontrolador. El gran tamaño de una de las baterías (CR2032) puede indicar la presencia de algún sistema de detección de desconexión del pack de baterías que arrancaría alguna rutina para borrar todos los datos de la unidad.

¿Cómo se configura el dispositivo?
El dispositivo carece de una interfaz para programar la unidad. Dicha programación podría tener lugar a través de SMS o enviando comandos a la unidad a través de GPRS. El tipo de diseño indica que el dispositivo está diseñado para ser reutilizado y probablemente recogido por personal diferente al que lo instaló.

¿Es un sistema convencional?
No, se ha puesto cierto esfuerzo en ocultar los elementos tecnológicos utilizados para prevenir la ingenieria inversa y aunque los componentes se pueden encontrar en el mercado de componentes tradicional, el tipo de integración y el uso de un controlador más avanzado me hacen pensar que el rastreador es un diseño especificamente adaptado y vendido para el rastreo "no oficial" de vehículos.

Vista trasera del ratreador

Vista frontal del rastreador

Bloques funcionales

La placa se compone de cuatro partes principales.

(a) Alimentación eléctrica
La unidad se alimenta con cuatro pilas tamaño D (o baterías IEC R20). Las cuatro baterías se conectan en serie para proporcionar 6 voltios a la placa. El componente amarillo marcado como “447 6V” es un condensador de tantalio TAJD447K006.

Hay dos baterías incluidas en la placa. Las dos baterías de litio (CR2016/2032) proporcionan 3-3.6 voltios al reloj de tiempo real (RTC) del GPS y del microcontrolador (MCU). La pequeña batería redonda permite, en caso de pérdida de potencia, mantener almacenada en la memoria interna del módulo GPS la última posición registrada. El uso de una batería externa conectada al microcontrolador ofrece la posibilidad de detectar una desconexión de las baterías.

(b) Módem GSM/GPRS
La conexión a la red de telefonía móvil se realiza mediante un módulo de control GSM/GPRS Wavecom/Sierra Wireless AirPrime (modelo número Q2687RD). El módem que proporciona acceso a la red móvil es cuatribanda y puede operar en 850, 900, 1800 y 1900 Mhz. La tarjeta SIM es de Movistar, el principal operador español de telefonía móvil, propiedad de Telefónica S.A. El módem isa la red 2G (GPRS).

La placa de este módem no tiene las etiquetas que habitualmente se incluyen y que informan del IMEI.

Módem GPRS Wavecom

La antena GSM/GPRS es un simple monopolo (cable) conectado al conector SMA externo.

(c) Módem GPS
El tercer bloque funcional es un receptor GPS. El receptor obtiene la localización via GPS y envía dicha información a otro punto mediante la red de telefonía móvil. Es circutito es receptor GPS U-blox, probablemente de la serie NEO 6.

Receptor GPS U-blox

La placa incluye el receptor GPS U-blox sin la etiqueta.

El receptor no incluye una antena integrada. Los GPS portátiles normalmente incluyen una antena cerámica (como la de la imagen) o una antena externa de alta ganancia. En vez de eso el GPS está conectado a una antena externa con base magnética.

Tradicional antena cerámica GPS

(d) Microcontrolador (MCU)
El cuarto bloque funcional es el microcontrolador (MCU), la CPU del rastreador. La MCU es responsable de interconectar el receptor GPS y el módem GPRS. Es difícil determinar el fabricante de la MCU sin tener acceso físico al dispositivo, pero sabemos que la MCU tiene 120 pines y que tiene un encapsulado Thin Quad Flat Pack (TQFP). Esta forma y encapsulado coincide con las MCU fabricadas por Renesas.

En este mismo bloque también podemos encontrar una memoria flash NAND de 32 pines.

Rtr, 16 de marzo de 2015
rtr@nodo50.org

Mas información

• La Directa, 05/03/2015: Una activista de Barcelona localitza un dispositiu de rastreig GPS amagat al parafang del seu cotxe
• Jacob Appelbaum, 06/03/2015: Fotos del dispositivo
• Eldiario.es, 08/03/2015: Cómo es el dispositivo rastreador que pusieron a la activista que fue a un congreso de privacidad
• Ara.cat, 12/03/2015: La història de l’espia britànic i de l’activista barcelonina que va trobar un GPS al cotxe
• La Directa, 15/03/2015: Entrevistem ’Lily’, de 37 anys, ciutadana britànica que, l’any 2010, va descobrir que un infiltrat havia estat la seva parella sentimental. Des d’aleshores, s’ha implicat a fons en la lluita pel dret a la privacitat
• La Directa, 15/03/2015: Un infiltrat de la policia britànica va passar per centres socials de Barcelona i Reus

English version: Un-boxing the infamous CTF location tracker

Un-boxing the infamous CTF location tracker (PDF, 400 Kb)

---