BMW MG1CS201: Vergrendeld vs Ontgrendeld en Wat Er Werkelijk Veranderd Is

BMW MG1CS201: Vergrendeld vs Ontgrendeld en Wat Er Werkelijk Veranderd Is

·7 min read
BMWECU tuningMG1CS201TC298 AURIXHSMB58B48securityBoschlocked ECU

De afgelopen jaren komen dezelfde vragen steeds weer terug op Bimmerpost, N54tech en elk ander BMW forum. Is mijn ECU vergrendeld? Kan MHD hem nog flashen? Wat is er veranderd? Is de ontgrendeling permanent? De meeste antwoorden die rondgaan zijn onvolledig of verouderd. Dit artikel brengt alles samen.

We hebben de Infineon datasheets doorgenomen, ECU binaries bestudeerd, onderzoekspapers gelezen en jarenlange forumthreads doorgespit zodat jij dat niet hoeft te doen.

Disclaimer

Dit artikel is uitsluitend bedoeld voor informatieve en educatieve doeleinden. Wij bieden geen ECU ontgrendelservice aan. Raadpleeg de aanbieders die hieronder worden genoemd als je een ontgrendeling nodig hebt.

Samenvatting

BMW ECU's van voor 2020 (MSD80, MSD81, MEVD17.2, vroege MG1CS001) gebruikten Infineon TC17xx chips zonder hardware beveiligingsmodule. De bescherming was softwarematig en werd uiteindelijk begrepen en omzeild. Je kon gewoon een OBD kabel inprikken en binnen enkele minuten een tune flashen.

ECU's na 2020 (MG1CS201 "Wave 3") gebruiken de Infineon AURIX TC298 chip met de Hardware Security Module (HSM) volledig geactiveerd. De HSM is een aparte processor op de chip met geisoleerd geheugen. Deze verifieert de integriteit van de bootloader met cryptografische controles voordat er iets wordt uitgevoerd.

Zonder aan te passen wat de HSM verwacht te zien, wordt elk getuned bestand afgewezen. Dat is het kernverschil. Al het andere bouwt daarop voort.

De Drie Generaties Bosch ECU Beveiliging

Bosch heeft de ECU beveiliging niet geleidelijk verbeterd. Het ging in duidelijke stappen. Als je geinteresseerd bent in hoe Bosch deze ECU's benoemt en versienummert, hebben we dat uitgebreid behandeld in onze Bosch ECU naamgevingsgids.

Wave 1: Softwarematige Bescherming (2006 tot 2018) LAAG

ECU's: MSD80, MSD81, MEVD17.2, MSV90, vroege MG1CS001. Chip: Infineon TC1796 en TC1766. Helemaal geen hardware beveiligingsmodule. OBD flashen was onbeperkt. Dit was het tijdperk waarin het tunen van een 3 Serie of 5 Serie zo simpel was als een kabel inprikken.

Wave 2: Gedeeltelijke Hardware Beveiliging (2018 tot medio 2020) GEMIDDELD

ECU's: Vroege MG1CS201, MD1CS005. Chip: Infineon AURIX TC298. De HSM zat al op het silicium, maar werd niet volledig afgedwongen. De tuninggemeenschap paste zich aan met bench mode workflows en hield de B58 en B48 platforms toegankelijk.

Wave 3: Volledige Hardware Handhaving (medio 2020 tot heden) HOOG

Dezelfde TC298 chip, maar nu volledig vergrendeld. HSM secure boot afgedwongen in elke fase. Dit is de huidige stand van zaken voor iedereen die een nieuwere M3, M4, X3 of elk laat geproduceerd BMW model met de B58 of S58 wil tunen.

Belangrijk

Wave 2 en Wave 3 gebruiken identieke hardware. Het verschil is firmware. Bosch heeft beveiligingsfuncties geactiveerd die al op de chip aanwezig waren.

Hardware Architectuur: Wat Er Veranderd Is

De TC298 is een fundamenteel ander beveiligingsmodel vergeleken met eerdere chips.

Legacy: TC1796 / TC1766

  • Single core CPU, 150MHz
  • 2 to 4MB flash, no ECC
  • No hardware security module
  • Software managed protection
  • Bootstrap always accessible
  • Debug via JTAG, single password
  • No secure boot chain
  • CRC based integrity (reversible)

Current: AURIX TC298

  • 3x TriCore CPUs, 300MHz
  • 8MB flash with ECC
  • Dedicated HSM (ARM Cortex M3)
  • Multi layer UCB protection
  • BSL permanently disabled (OTP)
  • 256 bit debug password + hardware lock
  • HSM verified secure boot (MAC chain)
  • RSA 2048 + AES 128 verification
3
TriCore CPUs
256
Bit Debug Password
8 MB
Program Flash
2256
Brute Force Keyspace

De TC298 maakt deel uit van Infineon's AURIX familie, ontworpen voor ISO 26262 ASIL D, het hoogste automotive veiligheidsintegriteitsniveau.

Geheugen Scheiding

Het geheugen van de chip is opgesplitst in twee onafhankelijke flash systemen. Program Flash (PFlash) op 0x80000000 slaat uitvoerbare code en kalibratiedata op. Data Flash (DFlash) op 0xAF000000 slaat beveiligingsconfiguratie op.

De Hardware Security Module

De HSM is het bepalende kenmerk van moderne ECU beveiliging. Het is een dedicated ARM Cortex M3 processor ingebed op dezelfde die als de TriCore cores, met eigen geisoleerd geheugen dat de hoofd CPU's fysiek niet kunnen benaderen.

Waarom Dit Belangrijk Is

Oudere ECU's valideerden zichzelf. Een systeem dat zijn eigen integriteit controleerde. Nu doet een apart systeem de controle en heb je er geen directe toegang toe. Dat is een fundamenteel ander probleem.

De HSM configuratie leeft in UCB_HSMCOTP0 op 0xAF402800. Eenmaal bevestigd is het permanent. OTP staat voor One Time Programmable. Bits gaan van 0 naar 1, nooit terug.

De Secure Boot Keten

Elke opstart doorloopt een verificatieketen voordat er iets wordt uitgevoerd:

Power On SSW (Boot ROM) UCB Eval HSM: MAC of SBOOT Match? SBOOT HSM: MAC of CBOOT Match? CBOOT RSA Verify App + Cal

SSW is mask ROM, gebrand in de fabriek, en kan niet worden gewijzigd. Het is de vertrouwensbasis.

SBOOT is Bosch's eerste fase bootloader. MAC geverifieerd door de HSM voor uitvoering.

CBOOT is BMW's laag. UDS diagnostische services, RSA 2048 verificatie. Als je ons Bosch MED17.5 artikel hebt gelezen, herken je dezelfde UDS programmeerstroom, maar met deze extra cryptografische poort ervoor.

Als een MAC controle mislukt, stopt het systeem. Geen fallback. De ECU lijkt dood.

Waarom Oudere Methoden Niet Meer Werken

RSA Table Redirect (MSD80/MSD81)

Verificatietabellen stonden in beschrijfbaar flash.

Verdwenen: HSM verifieert hardware gedefinieerde adresbereiken geconfigureerd in OTP.

Bootstrap Loader Pin (TC1796)

Verdwenen: Het PINDIS bit in UCB_OTP0 schakelt permanent BSL toegang uit.

CRC Wachtwoord Herstel

Verdwenen: TC298 gebruikt cryptografische vergelijking in mask ROM. 256 bit wachtwoord, exacte match vereist.

Bench Write (Wave 2)

Verdwenen: Wave 3 valideert elke schrijfactie tegen RSA 2048 handtekeningen.

Flashen vs Ontgrendelen

De Moderne Workflow

Stap 1, de Ontgrendeling: Stuur de ECU naar een ontgrendelservice (AutoTuner, Femto, of vergelijkbaar) die de HSM beveiliging wijzigt of omzeilt.

Stap 2, het Flashen: Eenmaal ontgrendeld, gebruik een OBD flasher om je tune te schrijven. Of laat WEREMAP de kalibratie voor je verzorgen. Wij ondersteunen alle ontgrendelde BMW ECU's voor Stage 1, Stage 2 en meer.

Hoe Ontgrendelen Werkt

Ondanks de bescherming worden Wave 3 ECU's commercieel ontgrendeld. Beide grote aanbieders bieden nu permanente bench ontgrendelingen aan.

Femto OBD + BENCH UNLOCK

Femto biedt twee niveaus van ontgrendeling. De OBD ontgrendeling wijzigt CBOOT om handtekeninghandhaving uit te schakelen en werkt de HSM referentie MAC bij. Dit is de snelle optie: je ECU komt terug en is klaar om te flashen met MHD, BM3, MG Flasher, EcuTek, of elke andere OBD tool.

De beperking is dat een dealer of OTA software update de originele CBOOT terug flasht en OBD toegang blokkeert. Daarom biedt Femto nu ook een volledige bench ontgrendeling. Dit opent een permanente achterdeur op de ECU hardware die dealer updates niet kunnen aanraken. Als een dealer update OBD weer vergrendelt, verbind je via bench (altijd open) en herstel je OBD toegang zelf.

AutoTuner BENCH + OBD UNLOCK

AutoTuner pakt het anders aan op hardwareniveau. Hun mail in service herconfigureert de UCB blokken in DFlash om beveiliging permanent uit te schakelen. Na de ontgrendeling werken zowel bench als OBD lees/schrijfbewerkingen. De ECU wordt gereset naar fabriekskalibratie, dus een bestaande tune gaat verloren.

AutoTuner ondersteunt zeven Bosch ECU varianten inclusief MD1CP002, MD1CP032, MD1CS001, MG1CS003, MG1CS024 en MG1CS049. Verzending en verzekerde retour zijn inbegrepen in de prijs.

Femto vs AutoTuner

EigenschapFemtoAutoTuner
MethodeBench (ECU insturen)Bench (ECU insturen)
OntgrendelingstypesOBD unlock + Bench unlockBench + OBD gecombineerd
OBD overleeft dealer update?Nee (herstelbaar via bench)Ja (hardwareniveau)
Bench overleeft dealer update?Ja (permanente achterdeur)Ja (DFlash onaangeraakt)
Tool compatibiliteitMHD, BM3, MG Flasher, EcuTek, elke bench toolAutoTuner tools (bench + OBD)
ECU reset naar stock?NeeJa (bestaande tune verloren)
Ondersteunde ECU'sMG1CS201 (BMW B58/B48)7 Bosch varianten (MDG1 familie)
PrijsNeem contact op voor actuele prijs€250 (verzending inbegrepen)

Prijzen vanaf begin 2026. Dual ECU voertuigen (M5 S63, M3/M4 S58) kosten doorgaans het dubbele. Bevestig actuele prijzen altijd direct bij de aanbieder.

Veelvoorkomende Misverstanden

"OBD tools hacken de ECU." Dat doen ze niet. Ze gebruiken allemaal standaard OEM diagnostische protocollen.

"Ontgrendelingen zijn altijd permanent." Dat hangt af van het type. Een OBD ontgrendeling (CBOOT patch) wordt ongedaan gemaakt door een dealer update. Een bench ontgrendeling of UCB wijziging overleeft omdat het in een ander flash gebied werkt. Beide aanbieders bieden nu permanente bench ontgrendelingen.

"Tunen is dood op nieuwe BMW's." Dat is het niet. Wij tunen regelmatig ontgrendelde MG1CS201 ECU's in de 3 Serie, 4 Serie, X3 en M modellen.

Wat Komt Er Hierna

Nieuwere AURIX generaties (TC3xx) worden al geleverd met extra hardening. De commerciele ontgrendelservices hebben het tot nu toe bijgehouden.

Conclusie

Het verschil is niet incrementeel. Het is een compleet andere aanpak. Oudere ECU's vertrouwden op softwarecontroles die draaiden op hetzelfde systeem dat ze beschermden. Moderne ECU's gebruiken een aparte hardwaremodule die alles onafhankelijk verifieert voor uitvoering.

Elke kalibratie die wij bij WEREMAP leveren is gebouwd met dit niveau van begrip. Bekijk onze BMW chiptuning catalogus of raadpleeg de ECU database.

Dit artikel is uitsluitend bedoeld voor informatieve en educatieve doeleinden.

Terug naar Nieuws