黑帽会议亮点-从星链终端的故障注入。
黑帽大会总会带来设备安全行业内有趣的最新研究。
COSIC的Lennert Wouters研究了我们用户终端。在pcb水平之后逆向工程他找到了一个串行端口,并观察了设备上运行的各种引导加载程序、U-boot和Linux。然而,没有明显的方法可以进一步进入。启动映像被签名,U-boot不接受串行输入,开发登录被禁用。
这些都是必须抵抗逻辑攻击的嵌入式系统所期望的标准实践。正如演讲的标题已经暗示的那样,问题是它是否也能抵抗错误注入攻击。
Lennert首先选择电压故障注入(VFI),使用ChipWhisperer Lite。这个装置使用了撬棍故障技术,使VCC和接地暂时短路。缺点是它只能瞄准特定的时间,而不是骰子上的特定位置。然而,EMFI、激光故障或BBI需要在芯片上定位,这对XYZ阶段提出了一些物理挑战,因为PCB非常大。
通过VFI,他成功地破坏了一个shell脚本,该脚本确定设备是否处于开发人员模式,从而提供shell访问权限。问题是它的成功率很低,并且每次错误尝试都需要完全启动(12秒)。为了解决这个问题,Lennert将VFI瞄准了可信固件A (TF-A)引导加载程序。他发现BL1中有两个小故障,他可以绕过固件签名验证,他可以加载任意BL2代码。
到目前为止,这个故事遵循的过程与我们在Riscure所做的非常相似。接下来,Lennert通过创建Modchip更进一步-一个合适的定制PCB来注入故障并加载攻击者固件。Modchip可以很容易地焊接到Starlink,并自动化整个FI过程,使攻击者在他们的Starlink终端上“自动root”。
另一个有趣的注意事项是使用FI模拟来模拟基于独角兽引擎的单指令和双指令跳过。这和我们在Riscure FiSim。Lennert注意到,尽管他可以发现双指令跳过会造成与硬件相同的影响,但实际的故障可能不同。这与(正在进行的)Riscure内部研究一致,其中将指令跳过模拟器与基于netlist的模拟器进行比较。
研究得出的一个结论是,TF-A BL1容易受到断层注入的影响。这不仅意味着星链是脆弱的,但潜在的所有设备使用TF-A没有额外的FI对抗。这与TF-A文档,其中谈到了软件中的FI对策,并指出“目前TF-A没有实施此类缓解措施。”有趣的是,对于TF-M,目前正在进行一些针对FI的强化工作。你可以了解更多关于这项工作在这里。
有关如何实现(软件)对策的更多信息,可以在我们的白皮书安全应用程序编程中找到更多信息侧信道攻击,或与Riscure联系(电子邮件保护)用于对抗验证。
|
|
|
|
|
|
|
|
留言回复