Chúng tôi có thể có một người chiến thắng cho Raspberry Pi và Hextree RP2350 trị giá 20.000 đô laThử thách hack, nhưng chúng tôi sẽ không chính thức tìm ra người chiến thắng là ai cho đến ngày 14 tháng 1. Kỹ sư Aedan Cullen đã công khai vớiHack Rp2350Trình bày tại Đại hội truyền thông hỗn loạn 38 gần đây (38C3), và có mộtGitHub repobây giờ được xuất bản để đi kèm với videođây.Cullen đã nghiên cứu chi tiết RP2350 trước khi thực hiện tấn công trục trặc điện áp vào chân 53 của chip RP2350, đã xoay sở để bật lõi RISC-V 'bị vô hiệu hóa vĩnh viễn và cổng truy cập gỡ lỗi của họ, cho phép anh ta đọc bí mật.

Raspberry piGiới thiệu RP2350thông quaRaspberry pi pico 2Là sự kế thừa củaRP2040- với thêmbảo vệcác tính năng để thu hút khách hàng thương mại và công nghiệp.Để công khai bộ vi điều khiển mới, nó đã hợp tác với Hextree để đưa ra Thử thách hack RP2350,được công bố tại def con vào tháng 8.Thử thách này đã kết thúc vào ngày 31 tháng 12 năm 2024, nhưng chúng ta phải đợi đến ngày 14 tháng 1 cho thông báo người chiến thắng chính thức.Cullen đã trình bày tại 38C3 vào ngày 27 tháng 12 và cũng đã chia sẻ một repo GitHub với một phác thảo về quá trình hack của anh ta và mã Python.Tuy nhiên, chúng tôi không biết liệu Cullen có phải là người chiến thắng hay không, vì vậy đây có thể không phải là phương thức hack chiến thắng $ 20K.

Cụ thể, RP2350 đi kèm với một bộ tứ các tính năng bảo mật mới, Raspberry Pi rất muốn làm nổi bật.Đây là khởi động an toàn, tin cậy, bộ đồng xử lý dự phòng (RCP) và máy dò trục trặc.Các setters của thử thách đã che giấu một bí mật về một trong những con chip 'được bảo đảm đầy đủ' này, sẽ được cung cấp cho các tin tặc áp dụng, và câu chuyện thành công rõ ràng đầu tiên sẽ nhận được 20.000 đô la và danh tiếng là người chiến thắng trong thử thách.Các cuộc tấn công bằng cách sử dụng phần cứng và/hoặc phương tiện phần mềm được cho phép bởi các quy tắc cạnh tranh, vì vậy nó gần như là một tình huống có bất cứ điều gì.

Raspberry Pi và Hextree sẽ ẩn bí mật trong bộ nhớ OTP (một lần được lập trình) của RP2350 trên chip, được cho là mã nhị phân một thời nhưng không bao giờ có mục tiêu.Picotool đã được sử dụng để viết mã bí mật cho OTP.Sau đó, bộ nhớ OTP của RP2350 đã bị khóa phía sau tính năng bảo vệ phần cứng khóa trang, được đặt thành một trạng thái 'không thể truy cập '13: 12' theo bảng trên.Firmware cũng đã được ký kết, với khởi động an toàn được bật và họ đã vô hiệu hóa tính năng gỡ lỗi chip, vì vậy Eye Eyes không thể có được bí mật thông qua giao diện gỡ lỗi dây nối tiếp (SWD).Hơn nữa, tất cả các bootkey khác đã bị vô hiệu hóa, máy dò trục trặc RP2350 đã được bật và sau đó được đặt thành độ nhạy cao nhất của nó.Nó chắc chắn có vẻ như nó đã bị khóa.

Cullen nói rằng ông bắt đầu quá trình hack của mình bằng cách nghiên cứu bảng dữ liệu RP2350 và các phụ thuộc được nêu trong tài liệu.Sau đó, Cullen đã khoan xuống cách RP2350 Boots và thiết lập các cài đặt bảo mật của nó, đặc biệt chú ý đến OTP.

Ý tưởng đầu tiên của Cullen là để OTP đọc sai các cài đặt bit quan trọng của nó, bạn có thể khiến chip hoạt động theo cách không an toàn.Cullen thậm chí đã chụp x-quang RP2350 như một phần trong các cuộc điều tra của anh ta và chú thích các khối chip.Tuy nhiên, ông nhấn mạnh rằng đây chỉ là một sự theo đuổi lợi ích và không thực sự là công cụ để đánh bại thử thách.

Nghiên cứu buộc Cullen tập trung vào PIN 53, được dán nhãn USB-OTP_VDD, vì nó được kết nối với các chức năng OTP (và USB).Có lẽ một hacker có thể "gây rối với nguồn cung cấp này ở bên ngoài" để ảnh hưởng đến các chức năng này, ông suy ngẫm.Vì vậy, anh ta đã tháo chip và pin 53 bị cô lập (cắt PCB vật lý), do đó, nó đã sẵn sàng để bị giả mạo bằng điện với một bảng được lắp lại.

Hình ảnh1của3

Với thiết lập được sửa đổi phần cứng này, Cullen đã thăm dò PIN 53 để "tiêm bất kỳ điện áp nào tôi muốn" và kiểm tra những gì đã xảy ra.Một bảng RP2350 không được bảo vệ đã được giữ trên tay để so sánh cạnh nhau.Khi phần cứng được thiết lập, anh ta đã xem những gì thường xảy ra khi một RP2350 không được bảo mật và không được bảo mật bắt đầu-theo bản đọc đầu dò trên máy hiện sóng.

16 nhóm gai đã được nhìn thấy, tương ứng với 16 lần đọc OTP ban đầu khi khởi động.Sau đó, Cullen đã kiểm tra các trục trặc năng lượng tiêm vào chân 53 tại một số điểm nhất định trong quá trình khởi động.Thất vọng, việc gỡ lỗi vẫn bị khóa.Tiếp theo, một tập lệnh Python đã được sử dụng để quét vị trí của đầu vào công suất trục trặc thông qua toàn bộ phạm vi OTP 600 microsecond trong khi khởi động.Chức năng gỡ lỗi đã được kiểm tra nhưng không bao giờ có sẵn.Vì vậy, Cullen đã nhìn vào bảng RP2350 đã mở khóa một lần nữa, với việc gỡ lỗi được bật, cho manh mối.

Sau đó, một cái gì đó thú vị đã được quan sát, vì các lõi RISC-V đã xuất hiện thông qua trục trặc trên RP2350 không có bảo đảm.Sau đó, Cullen đã sử dụng một tập lệnh khác để kiểm tra nơi hiển thị cổng truy cập Debug RISC-V.Kỹ thuật này cũng có thể được kích hoạt trên RP2350 được bảo mật - và giờ đây một trình gỡ lỗi có thể được kết nối với RP2350 được bảo mật và bí mật đọc từ OTP!

Bí mật bị phá vỡ

Các lõi RISC-V 'bị vô hiệu hóa' vĩnh viễn đã bị đánh thức bởi trục trặc để cho phép truy cập này.Cullen giải thích lý do cơ bản kỳ lạ là trục trặc 0x00030033 hoạt động là nó vô hiệu hóa cả lõi ARM và RISC-V, nhưng, hướng dẫn vô hiệu hóa cánh tay có mức độ ưu tiên cao hơn, khiến RISC-V bật.Điều quan trọng là sự cố xóa thành công Debug_disable.

Hình ảnh1của2

Để biết thêm thông tin về nền tảng của bản hack này, đặc biệt là bỏ qua cơ chế đọc bảo vệ, chúng tôi khuyên bạn nên xem video được ghi trong 38C3 (trên cùng được liên kết).Ngoài ra còn có một câu hỏi và trả lời thú vị vào cuối phiên.Bạn có thể tìm thấy người tham dự hỏi những câu hỏi tương tự với những người bạn có thể có.

Cullen kết thúc bài thuyết trình của mình với ba điểm pithy:

• Các yếu tố giao tiếp của con người là rất lớn.Sidense [công ty đằng sau công nghệ bộ nhớ OTP NV đã sử dụng] đã biết cách làm bảo vệ đúng cách và RPI đã bỏ lỡ.
• Càng vĩnh viễn không phải là một thứ trừ khi nó liên quan đến sự hủy diệt của chip.Có một số đồng ở đâu đó với mỗi tín hiệu
• Hãy nhớ trục trặc ở những nơi họ không nói với bạn.