NVIDIA تؤكد وجود ثغرة أمان في نظام Tesla Autopilot بسبب خلل في الجهد

يفصح بحث جديد من ألمانيا عن أن NVIDIA قد أكدت وجود ثغرة أمان في الأجهزة تسمح للمهاجمين بالسيطرة على تنفيذ الشفرة في نظام Tesla Autopilot. وت涉ل الهجوم في استخدام طريقة “كلاسيكية” لتعطيل الأجهزة عن طريق إحداث انخفاضات في الجهد، مما يسمح في هذه الحالة بتفعيل برنامج الإقلاع الذي عادة ما يتم تعطيله للمستهلكين، ويتطلب ظروف معملية.

كما أن الهجوم ساري على نظام معلومات وترفيه مرسيدس-بنز، على الرغم من أن له عواقب أقل ضررا.

الورقة البحثية، التي تحمل عنوان التهديد المنسي لخلل الجهد: دراسة حالة على معالجات Nvidia Tegra X2، تنشر من قبل جامعة برلين التقنية، وتستند إلى بعض الأبحاث السابقة التي كشفت عن ثغرة أمان مشابهة في AMD Secure Encrypted Virtualization، نشرت في 12 أغسطس.

تذكر الورقة البحثية:

لقد أبلغنا NVIDIA عن نتائجنا، بما في ذلك إعدادات التجربة ومعاملاتها. قامت NVIDIA بتحديث تجاربنا وأكدت أن حقن العطل يؤثر على معالج Tegra Parker SoC والأجهزة السابقة. وفقًا لهم، جميع معالجات Tegra الجديدة ستتضمن إجراءات لتخفيف هذه الأنواع من الهجمات. بالإضافة إلى ذلك، اقترحوا إجراءات لتقليل فعالية حقن عطل الجهد على الشريحة القابلة للاختراق…

تذكر الورقة أن نوع الهجوم الذي تم إثباته في بحثهم يمكن أن يسمح للمهاجم بتعديل برنامج النظام لتعطيل الأنظمة الأساسية، بما في ذلك طريقة استجابة المركبة ذاتية القيادة للموانع البشرية.

يلاحظون أن حتى التلاعب بنظام العرض في قمرة القيادة يحمل خطرًا حقيقيًا، مما يسمح بعرض معلومات خاطئة عن سرعة القيادة الحالية، والمعلومات الأخرى الأساسية لتشغيل المركبة بأمان.

حقن عطل الجهد

حقن عطل الجهد (FI)، المعروف أيضًا باسم خلل الجهد، يزيد أو يقلل من جهد الطاقة للنظام لمدة لحظة. إنه نوع قديم من الهجمات؛ يلاحظ الباحثون أن بطاقات الذكاء تم حمايةها ضد هذا النهج منذ عقدين، ويشير إلى أن مصنعي الشريحة قد نسوا هذا النوع من الهجوم.

ومع ذلك، فإنهم يقررون أن حماية شريحة النظام على شريحة واحدة (SoC) أصبحت أكثر تعقيدًا في السنوات الأخيرة بسبب أشجار الطاقة المعقدة ومعدلات استهلاك الطاقة الأعلى التي يمكن أن تزيد من الاضطراب المحتمل الناجم عن طاقة مضطربة.

لقد أثبتت هجمات من هذا النوع إمكانية ضد معالج NVIDIA Tegra X1 القديم في الماضي. ومع ذلك، فإن معالج Tegra X2 الجديد (‘Parker’) موجود في أنظمة أكثر حرجة، بما في ذلك نظام Tesla Autopilot شبه ذاتي القيادة، وكذلك في الأنظمة المستخدمة من قبل مرسيدس-بنز و سيارات هيونداي.

تثبت الورقة البحثية الجديدة هجوم خلل الجهد على معالج Tegra X2 الذي سمح للباحثين bằng استخراج المحتوى من الذاكرة 唯読 (iROM) الداخلية للنظام. بالإضافة إلى تعريض الملكية الفكرية للشركات للاختراق، يسمح هذا بتعطيل تنفيذ الشفرة الموثوقة بالكامل.

الخطر الدائم الممكن

علاوة على ذلك، فإن الغزو لا يزال غير متين أو يُحذف عند إعادة التشغيل: طور الباحثون “غرسًا عضويًا” قادرًا على تعطيل جذور الثقة (RoT) بشكل دائم.

رسم تخطيطي لدارة ‘crowbar’ طورها الباحثون الألمان – تعديل عضوي دائم يمكنه التلاعب بجذور الثقة في Tegra X2. مصدر: https://arxiv.org/pdf/2108.06131.pdf

لتحديد الهجوم، سعى الباحثون إلى فتح وثائق مخفية عن X2 – ملفات الرأس المخفية المضمنة كجزء من حزمة L4T. يتم وصف الخرائط، على الرغم من أنها لا يتم وصفها صراحة، في التوثيق عبر الإنترنت لتدفق الإقلاع Jetson TX2.

تدفق التحكم في برنامج الإقلاع TX2. مصدر: https://docs.nvidia.com/

ومع ذلك، على الرغم من أنهم تمكنوا من الحصول على المعلومات اللازمة من ملفات الرأس المنقولة، يلاحظ الباحثون أنهم تلقوا مساعدة كبيرة من خلال التصفح في GitHub للكود المتعلق بنVIDIA:

قبل أن ندرك أن ملف الرأس يتم توفيره من قبل Nvidia، قمنا بالبحث عنه في GitHub. بالإضافة إلى العثور على مستودع يحتوي على كود Nvidia، كشف البحث أيضًا عن مستودع يسمى “switch-bootroms”. يحتوي هذا المستودع على كود مصدر BR لمعالجات Tegra مع أرقام الطراز T210 و T214، بينما T210 هو الطراز الأصلي لمعالج Tegra X1 (الذي يحمل الاسم الرمزي “Erista”)، و T214 هو إصدار محدث، يسمى أيضًا Tegra X1+ (الذي يحمل الاسم الرمزي “Mariko”). يحتوي X1+ على سرعات ساعة أسرع، ووفقًا للتعليقات والكود في المستودع، فهو محصن ضد FI. خلال تحقيقاتنا، زادت وصولنا إلى هذا الكود بشكل كبير من فهمنا لـ X2.’

(تم تحويل الهوامش إلى روابط من قبلي)

تم الكشف عن جميع الاندماجات وأكواد التشفير باستخدام الطريقة الجديدة، وتم فك تشفير مراحل لاحقة من نظام الإقلاع بنجاح. إنجاز الهجوم الأكثر أهمية هو ربما القدرة على جعلها مستدامة عبر إعادة التشغيل من خلال الأجهزة المخصصة، وهو تقنية تم تطويرها لأول مرة من قبل فريق Xecutor لتركيب Nintendo Switch على سلسلة شريحة X1.

التخفيفات

ت建议 الورقة البحثية عددًا من طرق التعزيز التي يمكن أن تجعل إصدارات مستقبلية من معالج X-series مقاومة للهجمات خلل الجهد. عند مناقشة الأمر مع NVIDIA، اقترحت الشركة أن التغييرات على مستوى اللوحة ستكون مفيدة في حالة الشريحة الحالية، بما في ذلك استخدام راتنجات مقاومة للتحلل بالحرارة والمذيبات. إذا لم يكن من السهل فك الدائرة، فمن الصعب اختراقها.

تذكر الورقة أيضًا أن اللوحة المطبوعة المخصصة (PCB) لمعالج الشريحة هي طريقة لاستبعاد الحاجة إلى مكثفات الربط، التي تشكل جزءًا من الهجوم الموصوف.

لتصميمات معالج الشريحة في المستقبل، يمكن أن يسمح استخدام دائرة كشف خلل الجهد عبر النطاقات التي تمت ترخيصها مؤخرًا من قبل NVIDIA بتفعيل التنبيهات في حالة الاضطرابات الخبيثة أو المشتبه بها في الجهد.

تعتبر معالجة المشكلة من خلال البرمجيات أكثر تحديًا، لأن خصائص الأعطال التي يتم استغلالها صعبة الفهم ومكافحة على مستوى البرمجيات.

تلاحظ الورقة، على ما يبدو مع بعض الدهشة، أن معظم الحوافز الواضحة تم تطويرها مع مرور الوقت لحماية شريحة X1 القديمة، ولكنها غائبة في X2.

تنتهي التقرير بالقول:

‘يجب على المصنعين والمصممين أن لا ينسوا الهجمات البسيطة على الأجهزة التي كانت موجودة منذ أكثر من عقدين.’