NVIDIA confirme la vulnérabilité d'attaque de glitch de tension sur le pilote automatique Tesla

Une nouvelle étude allemande révèle que NVIDIA a confirmé une vulnérabilité matérielle permettant à un attaquant d'obtenir un contrôle privilégié sur l'exécution du code du système de pilotage automatique de Tesla. L'attaque utilise une méthode « classique » de déstabilisation du matériel par l'introduction de surtensions, ce qui, dans ce cas, permet de déverrouiller un chargeur de démarrage habituellement désactivé pour les utilisateurs grand public et destiné à des conditions de laboratoire.

L'attaque est également valable pour le système d'infodivertissement Mercedes-Benz, mais avec évidemment moins de conséquences potentiellement dommageables.

L' papier, intitulé La menace oubliée des glitchs de tension : une étude de cas sur les SoC Nvidia Tegra X2, provient de la Technische Universitat Berlin, faisant suite à certains travaux récents des mêmes chercheurs révélant une exploit similaire dans AMD Secure Encrypted Virtualization, publié le 12 août.

Le nouveau papier précise :

Nous avons divulgué nos découvertes à Nvidia de manière responsable, y compris notre configuration et nos paramètres expérimentaux. Nvidia a reconstruit nos expériences et a confirmé que l'injection de fautes a un impact sur le SoC Tegra Parker testé et les puces antérieures. Selon eux, tous les nouveaux SoC Tegra contiendraient des contre-mesures pour atténuer ces types d'attaques. De plus, ils ont proposé des contre-mesures pour réduire l'efficacité de l'injection de défaut de tension sur les puces vulnérables…

L'article indique que le type d'attaque démontré dans leurs recherches pourrait permettre à un adversaire de modifier le micrologiciel du système pour altérer les systèmes de contrôle essentiels, y compris la façon dont un véhicule autonome réagit aux obstacles humains.

Ils soulignent que même la falsification des systèmes d'affichage du cockpit comporte un réel danger, permettant l'affichage de fausses informations sur la vitesse de conduite actuelle et d'autres informations essentielles au bon fonctionnement du véhicule.

Injection de défaut de tension

L'injection de défaut de tension (FI), également appelée « coup de foudre », provoque une surtension ou une sous-tension momentanée de l'alimentation du système. C'est un forme d'attaque très ancienne; les chercheurs notent que les cartes à puce ont été renforcées contre cette approche il y a deux décennies, et suggèrent que les fabricants de puces ont effectivement oublié ce vecteur d'attaque particulier.

Cependant, ils reconnaissent que la protection d'un système sur puce (SoC) est devenue plus complexe ces dernières années en raison d'arborescences électriques complexes et de taux de consommation d'énergie plus élevés qui peuvent exacerber les perturbations potentielles causées par une alimentation électrique perturbée.

Les attaques de ce type ont s'est avéré possible Par le passé, le SoC NVIDIA Tegra X1 était supérieur à l'ancien. Cependant, le SoC Tegra X2 (« Parker »), plus récent, est présent dans des systèmes plus critiques, notamment le système de conduite semi-autonome Autopilot de Tesla, ainsi que dans des systèmes utilisés par Mercedes Benz et Véhicules Hyundai.

Le nouveau document démontre une attaque de type Voltage Glitching sur le SoC Tegra X2 qui a permis aux chercheurs d'extraire le contenu de la mémoire interne en lecture seule (iROM) du système. En plus de compromettre l'IP des fabricants, cela permet la désactivation totale de Trusted Code Execution.

Compromis permanent possible

De plus, l'incursion n'est pas fragile ni nécessairement effacée au redémarrage : les chercheurs ont développé un « implant matériel » capable de désactiver définitivement le Racine de la confiance (Pourrir).

Schéma d'un « circuit de pied-de-biche » développé par les chercheurs allemands – une modification matérielle permanente capable de manipuler la racine de confiance dans le Tegra X2. Source : https://arxiv.org/pdf/2108.06131.pdf

Pour cartographier l'exploit, les chercheurs ont cherché à déverrouiller la documentation cachée sur le X2 - les fichiers d'en-tête cachés inclus dans le cadre du Forfait L4T. Les mappages sont décrits, mais pas explicitement, dans documentation en ligne pour le flux de démarrage Jetson TX2.

Contrôle de flux du logiciel de démarrage du TX2. Source : https://docs.nvidia.com/

Cependant, bien qu'ils aient pu obtenir les informations nécessaires à partir des fichiers d'en-tête exfiltrés, les chercheurs notent qu'ils ont également reçu une aide significative en parcourant GitHub à la recherche de code obscur lié à NVIDIA :

Avant de se rendre compte que le fichier d'en-tête est proposé par Nvidia, nous l'avons cherché sur GitHub. Outre la recherche d'un référentiel contenant le code Nvidia, la recherche a également découvert un référentiel appelé "switch-bootroms". Ce référentiel comprend le code source BR divulgué pour les SoC Tegra avec les numéros de modèle T210 et T214, alors que T210 est le modèle original du Tegra X1 (nom de code "Erista"), et T214 est une version mise à jour, également appelée Tegra X1 + (nom de code "MarikoLe X1+ offre des vitesses d'horloge plus rapides et, à en juger par les commentaires et le code du référentiel, est renforcé contre les failles de sécurité. Au cours de nos investigations, l'accès à ce code a considérablement amélioré notre compréhension du X2.

(Notes de bas de page converties en hyperliens par moi)

Tous les fusibles et codes cryptographiques ont été découverts par la nouvelle méthode, et les dernières étapes du système de chargeur de démarrage ont été décryptées avec succès. La réalisation la plus notable de l'exploit est sans doute la possibilité de le rendre persistant lors des redémarrages via un matériel dédié, une technique d'abord développé par l'équipe Xecutor pour l'implant Nintendo Switch sur la série de puces X1.

Atténuation

Le document suggère un certain nombre de méthodes de durcissement qui pourraient rendre les futures itérations du SoC de la série X résistantes aux attaques de tension. En discutant de la question avec NVIDIA, la société a suggéré que dans le cas des SoC existants, des changements au niveau de la carte seraient utiles, y compris l'utilisation d'époxydes résistants à la décomposition par la chaleur et les solvants. Si le circuit ne peut pas être facilement démonté, il est beaucoup plus difficile de faire des compromis.

Le document suggère également qu'une carte de circuit imprimé (PCB) dédiée pour le SoC est un moyen d'exclure le besoin de condensateurs de couplage, qui font partie de l'attaque décrite.

Pour les futures conceptions de SoC, l'utilisation d'un circuit de détection de parasites de tension inter-domaines qui a été récemment breveté par NVIDIA pourrait permettre de déclencher des alertes en cas de perturbations de tension malveillantes ou suspectées.

Aborder le problème via le logiciel est plus un défi, car les caractéristiques des défauts exploités sont difficiles à comprendre et à contrer au niveau logiciel.

Le document observe, apparemment avec une certaine surprise, que la plupart des protections évidentes ont évolué au fil du temps pour protéger l'ancienne puce X1, mais sont absentes du X2.

Le rapport conclut:

« Les fabricants et les concepteurs ne doivent pas oublier les attaques matérielles apparemment simples qui existent déjà depuis plus de deux décennies. »