honeylab.hatenablog.jp

こちらの記事にあるように、このカメラ、いわゆる中華カメラOEM製品で、
ReaktekのSDKを使用してカメラのアプリを、クラウドサーバとしては"TUYA"というプラットフォームを利用しているようです。
そのため、u-boot(GPLv2)、Linux Kernel(GPLv2)、busybox(GPLv2)などが例によってOSSのコードを利用しています。

※例によっての例※

honeylab.hatenablog.jp

本来は製品の公開と同時、もしくは製品などに添付する形でOSSの使用許諾宣言を添付したり、著作権者の表示が必要で、また製品・バイナリの入手者からの請求に応じてソースコードを提供する必要があります。これは任意、サービスではなく、そもそも製品の提供時に満たされていなければいけない条件ですので、現時点でこの製品は

「GPL Violated」である、という状態です。

switchbotしっかりして

だいたいみんな初手コレだなw pic.twitter.com/GVhL8FiJVE

— ひろみつ(honeylab) (@bakueikozo) July 9, 2021

 一応、開発担当者には伝えている、とされていますが、それからそろそろ２週間ぐらいたつので、早めにソースコードが欲しいのですが…

なんだよおまえGPL警察かようぜーなとお思いかもしれませんが、ぶっちゃけその辺は私はどうでもよくて、この製品のGPLコードを手に入れてさっさと解析して、この機械を自由に改造できるようにしたいのです。

GPLは、プログラム（日本国著作権法ではプログラムの著作物）の複製物を所持している者に対し、概ね以下のことを許諾するライセンスである。

1. プログラムの実行^{[注釈 2]}
2. プログラムの動作を調べ、それを改変すること（ソースコードへのアクセスは、その前提になる）
3. 複製物の再頒布
4. プログラムを改良し、改良を公衆にリリースする権利（ソースコードへのアクセスは、その前提になる）

 

 と、Wikipediaにはこのように書かれています。

特に、おそらくu-bootのソースコードにはmicroSDからのファームウェア更新ルーチンが含まれているため、それを使用してファイルシステムの書き換えを行いたいのです。

(Ghidraで解析してみてるんですが、なんかうまくいかないの…)

さて、ソースコードが手に入らないので似た製品のソースコードがないかを調べていたところ、割とメジャーな TP-Link C100が同じSoCであるRTS3903を使用し、コードを公開しているようでした。

ダウンロードしてみると、大変親切なことに、Reaktek RTS3903 SDKに含まれるソースコードの多く、さらにビルド用のGCCまで一緒に公開してくれていました。
大変親切ですので、展開して中身をあれこれ調べているところです。

www.tp-link.com

このgccでビルドしたコードはおそらくそのままSwitchbot Indoor Cameraで動かすことができると思います。

ところで大変興味深いのですが、このアーカイブに含まれる環境はOpenWrtのファームウェア作成環境のようで make 一発で書き込み用のファームウェアまで作成することができる完全なものでした。すごいすごい。

 というわけで、ある程度はRTS3903の素性もわかり、buildrootを使用してIndoor Cam上で動く実行バイナリを作成するところまではやってきました。

RTS3903はMIPSなんですが、ATOM Camとかに使われてるMIPS32より圧倒的に古い、MIPS Iというレベルのコードしかサポートしていないようで、buildrootの2013年版のリリースまで戻る必要がありました。

シリアルログインだと、カメラアプリからのデバッグメッセージが延々と表示されて醜いのですが、telnetdを動かすことができるとそれに邪魔されずにシステムを調べることができます。

さて、もはや全然普通の使い方してないんですが、これからどういじっていこうかなぁ

honeylab.hatenablog.jp

さて、カメラの画質とか、そういうのは普通の人にやってもらうことにして、
私はシステムに入ってあれこれできないかを確かめてみます。

Switch bot indoor camera 分解
SoCはRTS3903N mipsなのかな？
左下にあるのUARTっぽいな
コネクタ持ってないなぁ pic.twitter.com/aVIGIZYFGs

— ひろみつ(honeylab) (@bakueikozo) July 8, 2021

まず、UART端子が見つかったので、これを使ってu-bootコンソールかLinuxのシェルに残ることを試みます。

u-bootの起動時にいろいろなキーを押していると、ESCを押したときに、パスワードの入力を促されることに気づきました。

uboot起動中にESCで反応したが、uboot password保護
まぁFlashひっぺがしたらいけるんちゃう pic.twitter.com/XCZvIlCzul

— ひろみつ(honeylab) (@bakueikozo) July 8, 2021

どうやら、ここで正しいパスワードを入力すれば操作が可能になるようです。

とりあえず、適当に入れてみましたが駄目です。
これは、ここで使われているu-bootのソースコードにパスワードの保存箇所が記録されているはずです。
では、ソースコードを…　まだ公開されてないようですね。
とりあえず、メーカに問い合わせて、ソースコードを送ってもらうことに…

switchbotしっかりして

だいたいみんな初手コレだなw pic.twitter.com/GVhL8FiJVE

— ひろみつ(honeylab) (@bakueikozo) July 9, 2021

まぁ、一般のメーカのサポート窓口なんてこんなものです。とはいえ、もうちょっと丁寧に書いてもいい気がしたので改めて返信しておきました。

私は優しいのでちゃんとその後に説明してます(若干日本語が変だな) pic.twitter.com/7i5XpOltfD

— ひろみつ(honeylab) (@bakueikozo) July 10, 2021

で、u-bootのソースコードが無いのでパスワードのヒントがありません。

取り合えず、同じSoCであるRTS3903を使用している TP-Link C100のu-bootソースを見ていくことにしました。

www.tp-link.com

いろいろ調べてみると、ここでは、CONFIG_ENV領域にある特定の環境変数を取得・比較しているようでした。

このENV領域がFlash上にあれば、参照できるはずです。

というわけで、Flashを引っぺがしてダンプします。

きゅっきゅっきゅいーん pic.twitter.com/WHjzwYyKhp

— ひろみつ(honeylab) (@bakueikozo) July 8, 2021

しかし、目grep程度では見つけられませんでした。
では、改めてu-bootのソースを見ていくと…

getenvでは

CONFIG_ENV_ADDRというアドレスが環境変数の格納されている場所です。

定義を探していくと…

#define CONFIG_ENV_ADDR 0xB0030000

…はて？どこのアドレスだこれ…？

…CPUのレジスタ空間に近いな

…ああああああ…　これたぶんCPU内蔵Flashのアドレスじゃないかな…
（データシートが無いのでほんとかどうかはわからないが、おそらくそう）

ってことはFlashダンプには入ってないわ…

残念！！！！！

ということで、まずはu-boot shellへの進入に失敗！！

あとは、本物のu-bootのソースが手に入ったら最終確認してみよう。
もしかしたら、起動したLinuxから無理やりregister読めるかもしれんし…

サーバパッケージを更新しました。

drive.google.com

どうしてもメモリが足りない状態が多いので、やむなくSDカード上にswapファイルを作成しました。
SDカード上へのswapはちょっと思うところがないわけではないですが、まぁSDカードにはずっと録画データを書いているわけなのと、そこまで頻繁にswapしているというわけでもなさそうなのでしばらくこれで様子見てみます。

念のため、高耐久性で、でも壊れてもいいＳＤカードを使用してください。

 ーーーーーーーーーー

refererからfacebook辺りから人が来てるっぽいんですが、どこで紹介されてるかわからないので、もしよければコメントから教えてください

（ニッチな用途なので、ある程度ユーザを把握したいです）

ーーーーーーーーーーー

honeylab.hatenablog.jp

honeylab.hatenablog.jp

上の２記事からの続きです。

あれやこれや調べた結果、かなり力技ですが、タイトル通りRTSPサーバ機能を追加し、
ローカルLAN内でVLCなどのRTSPビューアで表示ができるようになりました。

うおりゃぁぁぁぁぁぁ！
ATOMCam2にRTSP実装してやったわ！！！！！ pic.twitter.com/2zMVo91H1h

— ひろみつ(honeylab) (@bakueikozo) 2021年7月4日

もちろん、ルータの設定などを行えば外からも見ることが可能です。
実行ファイル群はATOM CamのOEM元の系統であるWyzeCamのオープンファームウェア「OpenMiko」からの拝借です。

github.com

（手元でT31用のSDKを使ってパッチ・再コンパイルしています）
「OpenMiko」の本来の使い方では完全にファームウェアを入れ替えてしまうため、これと同じように作るともともとの便利なATOMCamのどこからでも見れる機能が使えなくなってしまいます。
それはそれで不便なため、元の機能をうまいこと残し、追加機能を共存させることに成功しました。

ATOM Cam2で使うためには、microSDカードにここにあるアーカイブ内の「Test.tar」と各種フォルダを置いて、カメラを起動するだけでこの機能が使えるようになります。

本体上のストレージには何の影響も与えませんので、microSDカードを抜いて再起動すれば、完全に元の状態で動くようになります。

一応おいておくので試してみてもいいですが、
動かなかったら、あぁ動かなかったな、忘れよう。と思っておいてください。

また、動体検知等の機能はOFFのほうがよさそうです。メモリが足りないです。

尚、この実行ファイルはmicroSDカードに置かれるので、アプリから「microSDカードのフォーマット」をすると、たぶん動作がおかしくなりますので、これだけはやらないように注意する必要があります。
（もちろん、microSDカードを抜いて再起動すれば元通りになりますし、改めてファイルを書き戻せばハック状態にできます。）

 配信されているIPアドレスは、ATOMCamの公式アプリを起動して、デバイス情報の中にある「IPアドレス」になります。

VLCで開くアドレスは　rtsp://[IPアドレス]:8554/unicast　になります。

 なお、現時点ではストリームできるのは画像のみです。

さて、この実装に関して肝となるのはOpenMikoにも入っている「v4l2loopback」というカーネルモジュールです。

github.com

このモジュールを使うと、システム内に任意の /dev/video[x]　デバイスを作成することができ、このデバイスに画像データを流し込むことで、通常のLinuxで使用される、/dev/videox　をキャプチャデバイスとして扱うようなプログラムに画像を渡す、いわゆる「バーチャルカメラ」や「仮想キャプチャデバイス」などと呼ばれるもの相当が実現可能になります。

あとは、ATOM Camのプログラムの起動時に仕掛けをして、カメラから画像データが到着するたびに、この仮想キャプチャデバイスにデータを渡し、バックグラウンドで一般的に使われているRTSPサーバ「v4l2rtspserver」

github.com

を動かせばいいだけです。

(↓参考リンク)

dev.classmethod.jp

カメラ内のプログラムに仕掛けをしているコードはこんな感じです。

gist.github.com

ここで少し課題があります。

今のところ割り込んで画像を取得しているのは、カメラからの直データではなく、その次に接続されたH264エンコーダの出力になっています。

そのため、おそらく今のところ「mjpg_streamer」(生画像データかJPEGデータが必要)はまだ動かせません。/dev/videoから出てくるデータは生データとは限らないのです。

その代わり、H264エンコードはハードウェアで行われていますので、追加の負荷がほとんど発生しない状態でRTSP配信ができています。

理論上は、カメラ直後のYUVストリーム、うまくいけばハードウェアJPEGエンコード後のストリームも取れるはずなので、それは別デバイスに流してmjpg_streamerに食わすかcgiで吐き出せば、普通のブラウザでJPEG画像としてみることも可能になるはずです。追々挑戦してみたいと思います。

 あと、おまけ機能としてtelnetdを上げてあります。
上にあるIPアドレスに、telnetで、ユーザ root パスワード atomcam2でログインできます。

追記：とりあえずJPEG画像を取得する

エンコードされたフレームから再生成するので直接よりは画質が落ちますが、スクリプトなどで実行して送ったりするためにはffmpegを使うといいです。

ffmpeg -i rtsp://192.168.0.18:8554/unicast -f image2 -frames:v 1 test.jpg -y

などとやると、test.jpgが保存されます。 

ONVIF対応について | ATOM Tech（アトムテック）

知ってる人は知ってると思いますが、使い始めるまではクッソ簡単なATOMCam2ですが、ちょっと凝ったことをしようとすると、例えばブラウザからjpgが見てみたい、とかVLCでストリームを見たい、とかローカル内でマルチカメラを自分で見たい、とか言った目的のために、いわゆるONVIF対応が待ち望まれていて、さらにそれは開発中だと言い続けて早数か月、ユーザからは悲観的なコメントがあふれ、不満のコメントがぶつけられ続けています。

community.atomtech.co.jp

community.atomtech.co.jp

改めて言うけど、ちょっと使うにはすごいいいです。

個人的にたくさん並べてますし、交差点カメラとしての動作もばっちりです。

しかし、これをプログラムから自動化しようとすると、途端に何もできないのです。

ATOM Cam2の基板にははIngenic T31というSoCとイメージセンサが搭載されていますが、例えばラズパイにUSBビデオキャプチャをつなげた時のように、/dev/video0にアクセスすれば画像ができる、といった仕組みにはなっていません。

この組み合わせのための専用のSDKが準備されています。
しかし、そのSDK自体はその辺には転がっていません。
ネットの海をあれこれして、怪しげなサイト（別に怪しくはないのですが）にクレジットカード番号を入力したところ、T31用のSDKを入手し、サンプルコードを実行させることができました。

Ingenic T31のSDKに入ってるmips-gcc472-glibc216-64bit/bin/mips-linux-gnu-gccでHello,world成功(まぁ普通) pic.twitter.com/rJWs2YZfb8

— ひろみつ(honeylab) (@bakueikozo) 2021年6月27日

サンプルコードは非常に簡潔で、どうやらWyzeやATOMCamのアプリを制作している会社がラップしている"localsdk"は、このSDKに一枚皮をかぶせ、SDKの"sample"などの文字列が残ったままで作られている程度のもののようです。

また、元のSDK自体にもLinuxのソースコードやビルド済みカーネル、rootfsなどが添付され、割と簡単にカスタムファームウェアを作れるレベルの内容であることがわかりました。また、WyzeCamではv2までのカスタムファームウェアが実際にリリースされていますので、まともなエンジニアがちょっと本気を出せば、ONVIF機能などあっという間に完成するもののはずです。

このサンプルコードを改変し、boa(httpサーバ)を使い、ATOMCam2の画像をローカルLAN経由で取得することに成功しました。

これを拡張していく、例えばmjpg-streamerやffmpegなどに画像を渡すことで、ONVIFやRTSPへの対応ができるものと考えられます。

では、ATOMTechは何でできないのか。

エンジニア逃げたのかなｗ

いや、もともと内部にはエンジニアはいなくて、下請けに何らかの理由で追加開発を拒否されているんでしょうか。

さて、ここで一つ問題があります。
出荷されたATOMCamでは、iCamera_appというアプリがカメラの制御をすべて使用していて、あとから機能追加などをすることができません。
（試してないんですが、たぶん。）
つまり、いまのATOM アプリを使用しつつ、自作の画像取得アプリを動かす、というのは、iCamera_appからのソースコードレベルでの改変を行わないとおそらくできないものと考えられます。

（いや、すごい頑張ればできるんだけど…逆アセンブルから大体のプログラムの構造はわかってて、それに対して適当にinjectionすればできそうではあるんだけど…）

まぁ、これらを踏まえると、ATOMTechが倒産した暁には、iCamera_appを完全に無効化し、何らかの画像中継サーバなどを利用するか、ローカルでどうにかするためのアプリをリリースする環境は十分に整っていると考えられます。

（私がやるとは言ってない…）

なので、皆さん、安心して ATOM Cam2を買うんだ！
市販レベルでは結構最高品質のカラーナイトビジョンとWiFi搭載マイコンボードがついてなんと３０００円！！安い！！！！買うなら↓のリンクから（アフィ）

こんなアフィ記事ねーよ。

ネットワークカメラ ATOM Cam2(アトムカムツー):1080p フルHD 高感度CMOSセンサー搭載/防水防塵/赤外線ナイトビジョン 動作検知アラート機能 防犯カメラ/ペットカメラ/見守りカメラ/ベビーモニター ATOM tech製

• アトムテック(ATOM tech)

Amazon