Ángulo de Anderson

NVIDIA confirma vulnerabilidad de ataque de fallo de voltaje en Tesla Autopilot

mm
Publicado el
Actualizado el

Un nuevo artículo de investigación de Alemania revela que NVIDIA ha confirmado una vulnerabilidad de hardware que permite a un atacante obtener control privilegiado de la ejecución de código para el sistema de piloto automático de Tesla. El ataque implica un método “clásico” de desestabilizar el hardware introduciendo picos de voltaje, lo que en este caso permite desbloquear un bootloader que normalmente está deshabilitado para los consumidores y está destinado para condiciones de laboratorio.

El ataque también es válido para el sistema de infoentretenimiento de Mercedes-Benz, aunque con consecuencias potencialmente menos dañinas.

El artículo, titulado La amenaza olvidada de la inyección de fallos de voltaje: un estudio de caso sobre los SoCs Tegra X2 de Nvidia, proviene de la Technische Universitat Berlin, y sigue algunos de los trabajos recientes de los mismos investigadores que revelaron una explotación similar en la virtualización segura y cifrada de AMD, publicada el 12 de agosto.

El nuevo artículo establece:

Nosotros informamos responsablemente nuestros hallazgos a Nvidia, incluyendo nuestro conjunto de experimentos y parámetros. Nvidia reconstruyó nuestros experimentos y confirmó que la inyección de fallos afecta el SoC Tegra Parker y los chips anteriores. Según ellos, todos los SoCs Tegra más nuevos contendrán contramedidas para mitigar este tipo de ataques. Además, propusieron contramedidas para reducir la efectividad de la inyección de fallos de voltaje en los chips vulnerables…

El artículo establece que el tipo de ataque demostrado en su investigación podría permitir a un adversario alterar el firmware del sistema para manipular los sistemas de control esenciales, incluida la forma en que un vehículo autónomo reacciona a obstáculos humanos.

Señalan que incluso la manipulación de los sistemas de visualización de la cabina conlleva un peligro real, permitiendo la visualización de información errónea sobre la velocidad de conducción actual y otra información esencial para el funcionamiento seguro del vehículo.

Inyección de fallo de voltaje

La inyección de fallo de voltaje (FI), también conocida como inyección de fallos de voltaje, simplemente sobrevolta o subvolta el suministro de energía del sistema durante un momento. Es un ataque muy antiguo; los investigadores señalan que las tarjetas inteligentes se endurecieron contra este enfoque hace dos décadas, y sugieren que los fabricantes de chips han olvidado efectivamente este vector de ataque en particular.

Sin embargo, reconocen que proteger un sistema en un chip (SoC) se ha vuelto más complejo en los últimos años debido a los árboles de energía complejos y a las tasas más altas de consumo de energía que pueden exacerbar la perturbación potencial causada por un suministro de energía perturbado.

Los ataques de este tipo han demostrado ser posibles contra el SoC Tegra X1 más antiguo en el pasado. Sin embargo, el SoC Tegra X2 más nuevo (‘Parker’) está presente en sistemas más críticos, incluyendo el sistema de conducción semiautónoma Autopilot de Tesla, así como en sistemas utilizados por Mercedes-Benz y vehículos Hyundai.

El nuevo artículo demuestra un ataque de inyección de fallo de voltaje en el SoC Tegra X2 que permitió a los investigadores extraer contenido de la memoria de solo lectura (iROM) interna del sistema. Además de comprometer la propiedad intelectual de los fabricantes, esto permite la desactivación total de la ejecución de código de confianza.

Compromiso permanente posible

Además, la incursión no es frágil ni necesariamente eliminada en el reinicio: los investigadores desarrollaron un ‘implante de hardware’ capaz de desactivar permanentemente el origen de confianza (RoT).

Diagrama de un 'circuito de crowbar' desarrollado por los investigadores alemanes – una modificación de hardware permanente capaz de manipular el origen de confianza en el Tegra X2. Fuente: https://arxiv.org/pdf/2108.06131.pdf

Diagrama de un ‘circuito de crowbar’ desarrollado por los investigadores alemanes – una modificación de hardware permanente capaz de manipular el origen de confianza en el Tegra X2. Fuente: https://arxiv.org/pdf/2108.06131.pdf

Para cartografiar la explotación, los investigadores buscaron desbloquear la documentación oculta sobre el X2 – archivos de encabezado ocultos incluidos como parte del paquete L4T. Los mapas se describen, aunque no explícitamente, en la documentación en línea para el flujo de arranque de Jetson TX2.

Control de flujo del software de arranque de TX2. Fuente: https://docs.nvidia.com/

Control de flujo del software de arranque de TX2. Fuente: https://docs.nvidia.com/

Sin embargo, aunque pudieron obtener la información necesaria de los archivos de encabezado exfiltrados, los investigadores señalan que también recibieron una ayuda significativa al buscar en GitHub código relacionado con NVIDIA:

Antes de darnos cuenta de que el archivo de encabezado es ofrecido por Nvidia, lo buscamos en GitHub. Aparte de encontrar un repositorio que incluye el código de Nvidia, la búsqueda también descubrió un repositorio llamado ”switch-bootroms”. Este repositorio incluye código fuente filtrado de BR para los SoCs Tegra con números de modelo T210 y T214, mientras que T210 es el modelo original del Tegra X1 (codenamed ”Erista”), y T214 es una versión actualizada, también llamada Tegra X1+ (codenamed ”Mariko”). El X1+ incluye velocidades de reloj más rápidas y, juzgando por los comentarios y el código en el repositorio, está endurecido contra la inyección de fallos. Durante nuestras investigaciones, el acceso a este código aumentó enormemente nuestra comprensión del X2.’

(Notas al pie convertidas en enlaces por mí)

Todos los fusibles y códigos criptográficos fueron descubiertos por el nuevo método, y las etapas posteriores del sistema de arranque se descifraron con éxito. El logro más notable de la explotación es probablemente la capacidad de hacer que sea persistente a través de reinicios a través de hardware dedicado, una técnica desarrollada por primera vez por Team Xecuter para el implante de Nintendo Switch en la serie de chips X1.

Mitigaciones

El artículo sugiere una serie de métodos de endurecimiento que podrían hacer que las iteraciones futuras del SoC X-series sean resistentes a los ataques de inyección de fallo de voltaje. Al discutir el asunto con NVIDIA, la empresa sugirió que, en el caso de los SoCs existentes, los cambios a nivel de placa serían útiles, incluyendo el uso de epoxis resistentes a la descomposición por calor y disolventes. Si el circuito no se puede desmontar fácilmente, es mucho más difícil comprometerlo.

El artículo también sugiere que una placa de circuito impreso (PCB) dedicada para el SoC es una forma de excluir la necesidad de condensadores de acoplamiento, que forman parte del ataque descrito.

Para los diseños futuros de SoC, el uso de un circuito de detección de inyección de fallo de voltaje entre dominios que fue recientemente patentado por NVIDIA podría permitir activar alertas en caso de perturbaciones de voltaje maliciosas o sospechosas.

Abordar el problema a través del software es más un desafío, ya que las características de los fallos que se explotan son difíciles de entender y contrarrestar a nivel de software.

El artículo observa, aparentemente con sorpresa, que la mayoría de las salvaguardas obvias han evolucionado con el tiempo para proteger el chip X1 más antiguo, pero están ausentes en el X2.

El informe concluye:

‘Los fabricantes y diseñadores no deben olvidar los ataques de hardware aparentemente simples que han estado alrededor durante más de dos décadas.’

mm

Escritor sobre aprendizaje automático, especialista en síntesis de imágenes humanas. Anterior jefe de contenido de investigación en Metaphysic.ai.