NVIDIA potvrzuje zranitelnost útoku na napětí u Tesla Autopilot

Nová výzkumná práce z Německa odhalila, že NVIDIA potvrdila hardwarovou zranitelnost, která umožňuje útočníkovi získat privilegovaný přístup ke spuštění kódu pro systém Tesla Autopilot. Útok spočívá v „klasické“ metodě destabilizace hardwaru pomocí náhlých změn napětí, které v tomto případě umožňují odemknutí bootloaderu, který je obvykle zakázán pro spotřebitele a je určen pro laboratorní podmínky.

Útok je také platný pro infotainment systém Mercedes-Benz, i když s méně závažnými následky.

Práce, nazvaná Zapomenutá hrozba napěťových glitchů: Případová studie Nvidia Tegra X2 SoCs, pochází z Technische Universitat Berlin a navazuje na předchozí práci stejných výzkumníků, kteří nedávno odhalili podobný exploit v AMD Secure Encrypted Virtualization, publikovaný 12. srpna.

Nová práce uvádí:

Útočník může získat přístup ke spuštění kódu a změnit firmware systému, aby narušil kritické řídicí systémy, včetně toho, jak autonomní vozidlo reaguje na lidské překážky.

Práce dále uvádí, že i manipulace s kokpitem může představovat skutečné nebezpečí, umožňující zobrazení nesprávných informací o aktuální rychlosti jízdy a dalších údajů, které jsou nezbytné pro bezpečný provoz vozidla.

Napěťová injekce

Napěťová injekce (FI), také známá jako napěťové glitchování, jednoduše přepíná nebo podnapěťuje systémový napájecí zdroj na krátkou dobu. Jedná se o velmi starou formu útoku; výzkumníci uvádějí, že chytré karty byly proti této metodě zabezpečeny před dvěma desetiletími, a naznačují, že výrobci čipů zřejmě zapomněli na tento konkrétní útočný vektor.

Nicméně přiznávají, že ochrana systému na čipu (SoC) se v posledních letech stala složitější kvůli komplexním power tree a vyšším rychlostem spotřeby energie, které mohou zhoršit potenciální narušení způsobené perturbovaným napájecím zdrojem.

Útoky tohoto typu byly prokázány proti staršímu NVIDIA Tegra X1 SoC v minulosti. Nicméně novější Tegra X2 SoC („Parker“) je přítomen v kritičtějších systémech, včetně Tesla Autopilot semi-autonomního řídicího systému, stejně jako v systémech používaných Mercedes-Benz a Hyundai vozidel.

Nová práce demonstruje napěťový glitching útok na Tegra X2 SoC, který umožnil výzkumníkům extrahovat obsah z interní čtecí paměti (iROM) systému. Kromě ohrožení duševního vlastnictví výrobců to umožňuje úplné zakázání důvěryhodného spuštění kódu.

Trvalé ohrožení možné

Kromě toho je proniknutí trvalé a nemusí být nutně odstraněno po restartu: výzkumníci vyvinuli „hardware implantát“, který může trvale zakázat Root of Trust (RoT).

Diagram ‘crowbar circuit’ vyvinutý německými výzkumníky – trvalá hardwarová modifikace schopná manipulovat Root of Trust v Tegra X2. Source: https://arxiv.org/pdf/2108.06131.pdf

Aby mohli mapovat exploit, výzkumníci se snažili odemknout skrytou dokumentaci o X2 – skryté hlavičkové soubory zahrnuté jako součást L4T balíčku. Mapování je popsáno, i když neexplicitně, v online dokumentaci pro Jetson TX2 Boot Flow.

Řídicí tok softwaru TX2. Source: https://docs.nvidia.com/

Nicméně, i když získali potřebné informace z exfiltrace hlavičkových souborů, výzkumníci poznamenali, že také obdrželi významnou pomoc při prohledávání GitHubu pro neznámý NVIDIA související kód:

Než jsme si uvědomili, že hlavičkový soubor je nabízen NVIDIA, hledali jsme ho na GitHubu. Kromě nalezení repozitáře, který zahrnuje NVIDIA kód, náš výzkum také odhalil repozitář nazvaný „switch-bootroms“. Tento repozitář zahrnuje uniklý BR zdrojový kód pro Tegra SoCs s modelovými čísly T210 a T214, zatímco T210 je původní model Tegra X1 (kódové označení „Erista“), a T214 je aktualizovaná verze, také nazvaná Tegra X1+ (kódové označení „Mariko“). X1+ zahrnuje rychlejší takty a, soudě podle komentářů a kódu v repozitáři, je zabezpečen proti FI. Během našeho výzkumu přístup k tomuto kódu výrazně zvýšil naše pochopení X2.

(Poznámky byly převedeny na hypertextové odkazy mnou)

Všechny pojistky a kryptografické kódy byly odhaleny novou metodou a pozdější fáze bootloader systému byly úspěšně dešifrovány. Nejvýznamnějším úspěchem exploitu je zřejmě schopnost učinit jej trvalým přes restarty pomocí dedikovaného hardwaru, techniku, která byla poprvé vyvinuta Team Xecutor pro Nintendo Switch implantát na X1 čipové řadě.

Mitigace

Práce navrhuje několik metod zpevnění, které by mohly učinit budoucí iterace X-series SoC odolné vůči napěťovým glitching útokům. Při diskusi s NVIDIA společnost navrhla, že v případě stávajících SoC by byly užitečné změny na úrovni desky, včetně použití epoxidových pryskyřic, které jsou odolné vůči rozkladu teplem a rozpouštědly. Pokud nelze obvod snadno rozebrat, je mnohem obtížnější jej ohrozit.

Práce také navrhuje, že dedikovaná tištěná deska (PCB) pro SoC je jedním ze způsobů, jak vyloučit potřebu spojovacích kondenzátorů, které jsou součástí popsaného útoku.

Pro budoucí návrhy SoC by použití obvodů pro detekci napěťových glitchů, které byly nedávno patentovány NVIDIA, mohlo umožnit spuštění výstrahy v případě zlomyslných nebo podezřelých napěťových poruch.

Řešení problému prostřednictvím softwaru je více výzvou, protože charakteristiky chybných stavů, které jsou zneužívány, jsou obtížné pochopit a proti nim zakročit na softwarové úrovni.

Práce poznamenává, zdá se, s určitým překvapením, že většina zřejmých bezpečnostních opatření byla vyvinuta v průběhu času, aby chránila starší X1 čip, ale chybí v X2.

Zpráva uzavírá:

„Výrobci a designéři by neměli zapomínat na zdánlivě jednoduché hardwarové útoky, které existují již více než dvě desetiletí.“