Bezpečnostní chyba v čipech Tegra. Umožňuje hacknout Nintendo Swich a nedá se opravit

28
Nintendo Switch
Nintendo Switch

Procesory Intelu měly letos bezpečnostní problémy, procesory AMD měly bezpečnostní problémy. Z ústřední trojice počítačového hardwaru zbývá už jen Nvidia – a co byste řekli? Nvidia má nyní bezpečnostní díru v procesorech Tegra. Týká se mimo jiné Nintenda Switch, které je momentálně asi nejviditelnějším působištěm těchto čipů, ale zřejmě i řady dalších zařízení. Proti Meltdownu a Spectre (na Spectre jinak asi jádra Cortex v těchto SoC také trpí) je ovšem poněkud jiné povahy.

 

Prolomení ochrany Nintenda Switch

Tuto chybu našli hackeři pokoušející se dostat pod kůži konzoli Nintendo Switch, a to zřejmě nezávisle na sobě v několika případech (fail0verflow, Katherine Temkin, zřejmě i další). Nalezená bezpečnostní díra v SoC Nvidia Tegra X1 dovoluje ovládnout zařízení velmi brzy po jeho bootu, když ještě nejsou zinicializované bezpečnostní funkce a různé ochrany. Výsledkem toho je, že hacker pak dokáže vyřadit kryptografické ověřování podpisu u spouštěného kódu a spustit vlastní zavaděč, vlastní (upravený) operační systém a pak už i jakýkoliv software. Je tím tedy rozbito DRM na celé konzoli a tato chyba se dá využít k instalaci Linuxu, provozu neschválených podomácku vyrobených her („homebrew“) a také k pirátství.

nvidia-tegra-x1-chipChyba (s formálním označením CVE-2018-6242) se nachází v režimu RCM, což je speciální mód, určený k nouzovému obnovení bricknutých zařízení tak, že se systém nabootuje z USB. RCM běžně kontroluje digitální podpis, aby se jím nedal spustit jakýkoliv kód. Jenže Tegra obsahuje chybu, která dovoluje tento požadavek obejít patřičně upraveným požadavkem na sběrnici USB, jenž díky chybě v kontrole délky dat dovoluje místo legitimního obrazu vložit jakýkoliv nepodepsaný binární kód a spustit ho. K exploitu je třeba mít na USB přichystán cílový obraz systému a pak aktivovat režim RCM.

Obraz se dá připojit prostřednictvím počítače přes USB (například z Linuxu) a režim RCM se dá v případě Nintenda Switch aktivovat několika cestami – existujícím kernel exploitem, vyřazením eMMC úložiště nebo poškozením zavaděče systému na tomto úložišti (což není moc praktické), ale také stisknutím kombinace tlačítek na konzoli. Lze jej také vyvolat spojením dvou pinů na konektoru ovladače Joy-Con. Adaptér, který toto učiní po zasunutí do konektoru, se dá jednoduše vytisknout na 3D tiskárně.

Exploit může spustit jednoduchý adaptér k zasunutí do konektoru pro JoyCon, pouze spojuje dva z pinů
Exploit může spustit jednoduchý adaptér k zasunutí do konektoru pro JoyCon, pouze spojuje dva z pinů

Pro Nintendo je nepříjemné, že chyba není na existujících zařízeních opravitelná softwarem. Jelikož exploit přichází do hry velmi brzy po bootu, je postižený bootovací kód v ROM a nový firmware pro Switch jej údajně nemůže změnit. Exploit totiž přes režim RCM natáhne vlastní binárku dříve, než se aktualizovaný firmware dostane ke slovu. Nintendo tedy může díru zalátat jen novou revizí hardwaru (i když nevím, zda by to kvůli tomu Nvidia nemusela vyrobit opravenou revizi čipu Tegra X1), ale na existujících konzolí s ní už nic nesvede. Uživatelé na nich tedy budou moci tento hack používat „na věky“ a zřejmě se objeví tzv. modchipy, které díky tomu na těchto konzolích dovolí hrát pirátské kopie her.

Díra je podobná průniku do Intel Management Enginu

Podle ReSwitched a Katherine Temkin je tímto bugem kompromitován celý tzv. „root-of-trust“, jelikož kromě raného přístupu k hlavnímu CPU a bootu má hacker kompletní kontrolu i nad řídící jednotkou (Boot and Power Management Processor), tedy k něčemu jako je IME u Intelu nebo PSP u AMD. Zřejmě by tím pádem mělo být možné získat z ní citlivá data, která mají být v zařízení chráněná, například dešifrovací klíče k různým DRM. I přístup k hlavním CPU jádrům je na úrovni nejvyšších privilegií (jako TrustZone Secure Monitor).

Chybou je postižena Tegra X1 a podle ReSwitched pravděpodobně i starší verze těchto SoC. Tím se podstatně rozrůstá množství zařízení, které by se takto dala hacknout – kromě různých Nvidia Shieldů také různé starší Tablety, nebo embedded zařízení. Skupina fail0verflow kvůli tomuto informovala předem (s lhůtou 90 dní) Google, na jehož Androidu tato zařízení nejčastěji běží. Zdá se ale, že ne Nvidii a Nintendo – což lze chápat, jde-li těmto hackerům o to, dostat do konzole Linux a homebrew software, čemuž výrobci hardwaru aktivně brání. Informace o exploitu byly nakonec zveřejněny i proto, že o na něj stejně přišla řada dalších hackerů.

Demonstrace hacku od Katherine Temkin
Demonstrace hacku od Katherine Temkin

Současná zařízení nelze proti hacku zabezpečit

Tegra X2 („Parker“) by zřejmě již tuto chybu neměla obsahovat, takže pro výrobce zařízení, vůči nimž by cold-boot útok jako tento byl rizikem, je jedním z řešení přejít na tuto novou verzi SoC. Existující zařízení asi není možné opravit a zatím není známo, zda Nvidia vydá opravenou revizi Tegry X1, případně dalších ještě užívaných čipů starších generací.

Pokud jde o bezpečnost samotného koncového uživatele například u konzole Switch, tak samotný cold-boot útok by asi neměl být zas tak rizikový. Nezdá se reálné, že by se mohlo povést ho zneužít například k útočení z škodlivých webových stránek během užívání počítače/zařízení. Úplně 100% akademická tato zranitelnost není, jelikož do režimu RCM, kde se infekce provádí, se dá procesor zresetovat softwarově záznamem do určitého registru. Pokud tedy útočník dokáže na zařízení spustit kód například exploitem Webkitu a jádra z webové stránky (což bylo na Nintendu Switch demonstrováno), má otevřenou možnost získat tímto exploitem navíc ještě o řád vyšší přístup i k řídící jednotce, v které by pak mohl svůj malware schovat. Ovšem stále je tu nutnost mít nějak připojený „payload“ ke spuštění na rozhraní USB, což vzdálený útočník obvykle nebude moci zajistit. Tudíž lze celkem klidně říci, že chyba není vzdáleně zneužitelná.

Vrásky z této chyby tedy bude mít hlavně Nintendo a potenciálně další uživatelé čipů Tegra v embedded zařízeních. Potažmo je to samozřejmě problém i pro Nvidii, těžko ale soudit, jak velký.

Bezpečnostní chyba v čipech Tegra. Umožňuje hacknout Nintendo Swich a nedá se opravit

Ohodnoťte tento článek!
4.7 (93.75%) 16 hlas/ů

28 KOMENTÁŘE

  1. Pokud došlo k prolomení DRM, je to problém, protože se teď budou velcí distributoři digitálního obsahu bránit na podobné platformy něco pustit. Pokud pro to existuje Netflix, bude asi možné přímo nahrávat pořady. Atd. A to se jim moc líbit nebude. Ve finále to zase odskáče uživatel, který se na 4K video bude moct dívat na celkem dvou zařízeních a ještě jen za úplňku 🙁

    • No je pravda, zařízení, jejichž klíč leakne, nebo z kterých utíká dešifrovaný obsah, mohou být revokována (tj. v té děravé verzi už si člověk nepustí streamy/nová videa) a tady by asi byl problém, pokud fakt nelze opravit tu díru a pokus by se nepodařilo to nějak obejít a vydat bezpečnou aktualizaci, která by dostala nový klíč a zase fungovala.
      Ale jestli by to mohlo takhle daleko zajít a (některé) DRM služby by přestaly fungovat, to nevím, zatím asi dost předčasná věc. Bylo by to blbé, protože ta zařízení asi kolikrát budou už mimo dobu záruky a že by se koncový spotřebitel domohl nějaké výměny, se mi moc nezdá reálné.

      • No ja to osobne skor vidim tak, ze to nebude „az taky ozrutny problem“ ci uz pre vyrobcu / majitela tejto konzoly …

        … kedze „otvorenim“ konzoly sa im otvara aj novy trh … a staci ak 5-10% z tohto noveho trhu si sem-tam nieco aj na tu konzolu zakupi … (co osobne robim hlavne pri digitalnych distribuciach ako je steam, gog … atd) … co by sa inac nestalo ak by sa ta konzola „neotvorila“ (citaj necrackla) … myslim si ze aj „mierny“ narast je narast … a v prinose financnych prostriedkou pre firmu ktora by ich inac „neobdrzala“ je to asi dost … v porovnani z 0. = je irelevantne ake velke zisky to dokaze vygenerovat … staci ze budu „meratelne“ … a to uz nieje 0 a = to je zisk (resp. zisk naviac, ktory by inac , bez cracknuta tej konzoly nevygenerovali).

        • Spíš je problém, aby skrz crack „neutíkaly“ filmy a seriály na internet, protože pak by k bloknutí služeb mohlo dojít od poskytovatelů obsahu a lidi, co doma konzoli používali na sledovaní by o tuto možnost přišli.

    • A podla Vas je na tom nieco zle ? …

      1) s mojim vlastnictvom si mozem robit co chcem, kde chcem, kedy chcem a ako chcem !

      2) podla Vas by bolo v poriadku „obmedzovat“ napr. majitela bicykla „si uz ked len zalepit defekt“ ? Aj keby slo o DRM ? Alebo majitela auta … v pripade vymeny zimnych pneu … LEN V AUTORIZOVANOM (ALEBO AKOMKOLVEK) SERVISE ? … a sam vlastnymi rukami by to robit nemohol ? … Trochu chore ! … nie ?

      3) pokial si zaplatim za podobnu srandu … 100-200-500-1000€ je to moje … a mozem si s tym robit co chcem a nech je tam akekolvek DRM … je to moje vlastnictvo a mozem si s tym robit co chcem, dokonca aj odstranit to DRM ! … pre mnoho produktov je to prave „klucova“ strategia … pri prinos dalsich investicii … Ja osobne som kupoval napr. PSP az ked sa dalo cracknut a ANO CAKAL SOM LEN NA TO !!! … aby som nemusel platit „horibilne sumy“ za hry … A myslim si ze takto „uvazujucich ludi“ je vacsina … nema kadzy prachateho tatka (aka … https://www.youtube.com/watch?v=d5CVaIPZFDQ ), niektory si svoje veci kupujeme sami … a platime za ne tvrdo odpracovanymi peniazmy.

      4) podla Vasej logiky by sa potom nemohol stat pripad kedy „v USA daju susit macku do mikrovlnky“ … VED SA TO NEDA … VED TO JE NA JEDLO, NIE NA SUSENIE MACIEK !!! … CO MIKROVLNKOVE DRM ? … v pohode ?

      5) pripadne si kupite topanky a nebudete si vdaka DRM moct vymenit snurky ked sa Vam roztrhnu … alebo ano budete moct … ale len za „originaly a len v servise na vymenu snurok !!!“ …

      … staci „dost“ prij*ebanych prikladov ? … ci mam pokracovat ?

      • Taky jako mnoho dalších lidi jsem stahoval crackly soft. Už to nedělám. A taky jsem zkouknul mraky filmů z různých zdrojů. Ale veřejně obhajovat krádež tím, ze nemáte bohatého tátu je už trochu moc. Ano kamarád si taky koupil hacknutelne psp. A ano, souhlasím , ze může tato možnost pomoct prodejům. Ale nemáte právo krást software, protože na něj nemáte. To je fakt mimo mísu.

        • Já s ním rámcově souhlasím. Ostatně celkem věrně to kopíruje 4 podmínky svobodného softwaru.

          Naštěstí ten svobodný software fakt existuje, a člověk se na tyhle zmrveniny, co ovládají uživatele, může úplně vykašlat. Sice si pak nemůže pořídit ani mobilní telefon, ale dá se.

          Souhlasím s tím, že přístup s tím koupit si uzavřený SW, a odsouhlasit obchodní podmínky s tím, že je budu porušovat, je odporný. Nikdo ho do toho nenutí. Na druhou stranu vzpomeňte na hackerskou scénu v osmdesátkách a na začátku devadesátek, ať se na mě nikdo nezlobí, ale já ty lidi vyznávající hackerskou etiku mám za hrdiny 🙂 i když crackovali a z principu lámali jakoukoli ochranu mohli.

        • 4 FYBY: Pokial viete citat, tak viete aj to ze som nikde nehovoril o kradnuti SW. To taktiez nerobim a ani hry a ani iny „autorsky chraneny obsah“ … preco by som ale mal platit dan za to ze sa niekto proste neake rozhodol a ten SW na (napr.) tom PSP zablokoval ?

          Ja som nikde nepodpisoval ziadne „dodatok“ k zmluve kde stalo ze to PSP nemozem a nebudem „crackovat“ … taktiez to odo mna nevyzadovalo samotne PSP pri jeho spustani … takze … nic som „neporusil“ … iba „tzv“ blombu na tom PSP … zatial co si na cracknutom PSP mozem pustat do sitosti „lubovolny homebrew SW“ … niekto kto toto (citaj niekto kto PSP necrackol) neurobil si tento SW na tom PSP nepusti ! … aj ked sa zrovna nejedna o kradnuty ci cracknutu hru ! …

          • 2m2fizy: psal jste, ze jste čekal na cracknutelné psp protože jste nechtěl platit horentní sumy za hry. Na toto jsem reagoval. Jinak ale znovu píšu , že to chápu. Já jsem toho taky nastahoval mraky. Ale už je to nějaký čas. Vlastně od doby, co dělám ve vývoji sw, tak už je mi prostě i blbý vývojáře ošulit, když mám zájem o jeho program/hru.

    • 4 VLKO : a este by ma zaujimalo … preco je to pre Vas taka „super“ sprava … ved podla toho co pisete … mate penazi na „predrazene“ produkty dost (vid vase nV obhajujuce a AMD „karhajuce“ prispevky v diskusiach) … evidentne nemate do kapsy hlboko … tak preco je potom pre Vas problem kupovat a platit aj za predrazene hry na switch ? … akosi my to nedava zmysel.

      A este pred tym ako ma zacnete osocovat, ze som neaky neviem aky „fanatik“ alebo neviem aky iny „debilko ktory je evidentne fixovany na ZNACKU“ … tak zial sa velmi mylite … mne je uprimne suma fuk aku mam znacku na tricku alebo v PC (a kakam) na Vase nV resp. AMD srandovne tahanice o znackach … JA KUPUJEM TO CO JE VYHODNE PRE MOJU PENAZENKU … a ak zas odpisete nieco v style „utoku na AMD alebo nedajboze na nV“ … tak si uvedomte ze nie kazdy na prachateho tatka … a nie kazdy je rozmaznany parchant ! … niektory na HW makame v praci a zarabame peniaze, ktora ale nasledne aj „inteligentne miname“.

      • podle toho, co tady produkuješ za moudra, bych v tom utrácení žádnou inteligenci neviděl … ještě předtím, než se do mě začneš navážet bych se rád zeptal, co, nebo jaký text „Vlka“ tě vedl k tomu, že se k němu chováš jako k nějaké svini? Arogance ti rozhodně nechybí, synku …

        • Je evidentne ze citate aj diskusie pod inymi clankami. Vsade tu tento clovek ryje do ludi ze nemaju dost penazi a podobne sragory. A ze ked toto tak tamto a ze nV je „boh“ atd. A argumentuje to velkostou tatkovej penazenky.Ale to je podla Vas urcite v poriadku. A z akeho dovodu ho tu vobec obhajujete ? Predpokladam ze si chalanko v zapale zelenej alebo inej horucavy vytvoril „69“ rocny account aby sa mohol obhajovat sam a este aj s vekom nad 15 rokov. Ved aby to nebolo hned jasne a take okate.

    • 4 VLKO : a este ma nieco napadlo … kedze sa jedna o nV … neviem preco tu nemate neake stupidne argumenty … alebo obhajovania … kedze ste takym „fanatikom do nV“ … a asi aj curate na zeleno … resp. minimalne budete zeleny po precitani mojho prispevku …

      kedze sa jedna o TEGRU od nV (onej Vami ospevovanej socialne privetivej firmy … ktora na svojich zakaznikoch nezaraba … a neokrada … a nerobi nekale praktiky (vid priklad GPP) na odstavenie a oslabenie prirodzenej konkurencie … ci uz sa jedna o AMD alebo „ineho“ vyrobcu).

          • co to meleš, synku? Tyhle diskuze ti evidentně škodí, já nepíši nic o hovnech, sračkách a iných úchylárnách, jen mi vadí, že se vozíš po někom jen proto, že nesouhlasíš s jeho názorem … nech si ty bláboly pro svá děcka, pokud se na nějaká zmůžeš … nemáš na něco, nekupuj, máš, kupuj a nekomentuj … taky mám rodinu a nekupuji každý týden grafárnu za 20k, nemám ale potřebu komentovat každou kravinu … dle tvého projevu odhaduji tvůj věk na 11 let plus-mínus, nebo na závažný problém s egem …nemám nic proti tobě, ale něco málo kontroly navíc by neškodilo …

          • jinak jedna tvoje věta říká takřka vše …“1) s mojim vlastnictvom si mozem robit co chcem, kde chcem, kedy chcem a ako chcem !“
            ještě si tak přečíst, s čím jsi souhlasil, když jsi tu věc kupoval, nebo začal provozovat … neznalost zákona neomlouvá …

  2. PROMAZ – JO

    … a evidentne si kupujete „cracknuty HW“ aj Vy (ironia … ak viete co to je … ak nie … https://sk.wikipedia.org/wiki/Ir%C3%B3nia … nastudovat !), ked vzdy ked si neaky zakupim podpisem k nemu asi 300 papierov o tom ze ho nebudem crackovat … iste … ste asi s prepacenim padnuty viac krat na hlavu … kedze o tom viete prd makovy … ale prezentujete to tu ako dogmu (to asi tiez neviete co je … tak studovat … https://sk.wikipedia.org/wiki/Dogma ) a holy fakt.

    Este raz … nikdy som nikde ziaden papier o tom ze to crackovat nebudem nepodpisal … a ani PSP to neziadalo … takze netusim o com tocite …

    PROMAZ – JO