Versierte Anwender machen sich den Firmware-Update-Mechanismus von WLAN-Routern und anderen Geräten zunutze, um ein eigenes Linux aufzuspielen. Besitzt ein Gerät keine Update-Möglichkeit, aber eine JTAG-Diagnose-Schnittstelle, lässt es sich oft dennoch ein Linux transplantieren.

© Ewa Walicka, Fotolia.com© Vindicator, CC-BY 3.0

Nicht nur der Gerätehersteller kann versuchen fremde Firmware zu verhindern. Auch mancher User sperrt sich bisweilen selbst aus, wenn er beim Update den Bootloader schrottet. In beiden Fällen schafft eine in vielen Chips hart verdrahtete JTAG-Schnittstelle (Joint Test Action Group) Abhilfe [1]. Sie arbeitet auch ohne funktionstüchtige Software auf dem Gerät. Dazu wird die oft als Lötpunkte herausgeführte Schnittstelle des Geräts über einen JTAG-Adapter mit einem PC verbunden. Mit passender Software greifen Bastler dann via JTAG-Protokoll auf das Zielgerät zu.

Neben dem Wiederbeleben von Geräten mit defekten Bootloadern verwenden sie JTAG auch noch dazu, um Zugriff auf Geräte ohne serielle Schnittstelle zu erhalten oder bei ihnen die Software zu verändern - denn die beruht immer öfter auf eingebettetem Linux. So lassen sich manche Zusatzfunktionen wie Set-top-Boxen oder Flachbildschirme bis hin zu Mobiltelefonen nutzen.

JTAG ist bei solchen Systemen eigentlich nur für den Hersteller zum Programmieren der Geräte und für die Fehlersuche gedacht. Daher besteht die erste Herausforderung darin, die Schnittstelle im Innern der Geräte zu lokalisieren, wobei Kenntnisse über die Funktionsweise der Schnittstelle hilfreich sind.

Den Eingang finden

Hinter der Abkürzung JTAG verbirgt sich ein 1985 gegründetes Herstellerkonsortium, das die Schnittstelle ursprünglich entwickelte, um elektrische Verbindungen auf bestückten Platinen automatisiert zu prüfen. Offiziell standardisiert IEEE 1149.1 das Verfahren und dessen Schnittstelle.

Die zunehmende Miniaturisierung integrierter Schaltkreise erfordert einen definierten Zugang, da sich Leiterbahnen bei mehrlagigen Platinen zu Testzwecken oft nicht mehr direkt kontaktieren lassen. Mit JTAG dürfen Entwickler an allen Ein- und Ausgängen des Chips einen High- oder Low-Pegel anlegen oder den anliegenden Wert messen. So prüfen sie Verbindungen zwischen den einzelnen Chips.

Dank dieser Funktionalität können sie von einem Chip mit JTAG-Schnittstelle aus auch auf Bausteine ohne solche Schnittstelle zugreifen. Sie nutzen die JTAG-Schnittstelle eines Mikrocontrollers dazu, an den Controller angeschlossenen Flashspeicher zu lesen und zu beschreiben. Auf diesem Weg lässt sich sogar ein Bootloader in den Flashspeicher des Controllers programmieren. Dieses Verfahren erfordert jedoch sehr viel Zeit, da es die entsprechenden Anschlüsse des Chips fortlaufend via JTAG aktualisieren und abfragen muss.

Heute existieren für JTAG eine Vielzahl von herstellerspezifischen Erweiterungen, die derartige Buszugriffe beschleunigen und weitere nützliche Funktionen wie etwa Debugging bereitstellen. Damit lesen und ändern versierte Entwickler bei den meisten Microcontrollern im laufenden Betrieb auch den RAM-Speicher und die Register des Chips. Selbst das Setzen von Breakpoints via JTAG ist bei aktuellen Controllern möglich.

Ein schmaler Pfad

Um möglichst wenig Pins am Controller zu belegen, die sich nicht als normale Ein- und Ausgänge nutzen lassen, hat das Konsortium die Schnittstelle synchron und seriell realisiert. Sie ist an einen Zustandsautomaten gekoppelt und benötigt lediglich vier Pins, sie tragen die Kürzel TCK, TMS, TDI und TDO. Der Pin TCK (Test Clock) taktet die Schnittstelle. TMS (Test Mode Select) dient der Navigation im Zustandsautomaten. Über TDI (Test Data In) übertragen Anwender Daten zum Gerät hin, während TDO (Test Data Out) die Datenleitung für die Rückrichtung darstellt.

Die optionale Leitung TRST (Test Reset) dient dazu, die Schnittstelle in einen definierten Ausgangszustand zu versetzen. Da keine einheitliche Steckerbelegung für JTAG-Anschlüsse existiert, besteht bei fremden Geräten die erste Herausforderung darin, die Kontakte für TCK, TMS, TDI und TDO auf der Platine zu finden.

Sie können diesen Artikel als PDF für 99 Cent kaufen. Klicken Sie dazu einfach auf eine der beiden Bezahloptionen Paypal oder ClickandBuy.

Versierte Anwender machen sich den Firmware-Update-Mechanismus von WLAN-Routern und anderen Geräten zunutze, um ein eigenes Linux aufzuspielen. Besitzt ein Gerät keine Update-Möglichkeit, aber eine JTAG-Diagnose-Schnittstelle, lässt es sich oft dennoch ein Linux transplantieren.