Connect with us

NVIDIA、Tesla Autopilotの電圧グリッチ攻撃の脆弱性を確認

サイバーセキュリティ

NVIDIA、Tesla Autopilotの電圧グリッチ攻撃の脆弱性を確認

mm
Published
Updated

ドイツの新しい研究論文によると、NVIDIAは、Teslaのオートパイロットシステムのコード実行を特権で制御できるハードウェアの脆弱性を確認した。この攻撃は、ハードウェアを電圧サージで不安定化させる「クラシック」な方法で行われ、この場合は通常コンシューマーに無効化されているブートローダーのロックを解除することが可能となり、実験室での条件でのみ使用されることを意図していた。

この攻撃は、Mercedes-Benzのインフォテインメントシステムにも有効であるが、当然ながら潜在的に有害な結果は少ない。

論文は、NVIDIA Tegra X2 SoCsの忘れられた脅威:電圧グリッチングのケーススタディと題されており、Technische Universitat Berlinから発行され、同研究者の最近の研究に基づいて、同様の脆弱性をAMD Secure Encrypted Virtualizationで暴露し、8月12日に公開された。

新しい論文は次のように述べている:

私たちは、NVIDIAに実験の設定とパラメータを含む私たちの調査結果を責任を持って開示した。NVIDIAは私たちの実験を再現し、テストされたTegra Parker SoCと以前のチップが故障インジェクションの影響を受けることを確認した。彼らの話によると、新しいTegra SoCはこれらのタイプの攻撃を緩和するための対策を含むだろう。さらに、彼らは脆弱なチップでの電圧故障インジェクションの有効性を低減するための対策を提案した…

論文は、この研究で示されたタイプの攻撃により、システムのファームウェアを改ざんして、人による障害に反応する自律車の制御システムを含む重要な制御システムを操作することができることを示している。

また、コックピットディスプレイシステムを改ざんすることによっても、現在の走行速度などの車両の安全走行に必要な情報の誤った表示が可能となるため、真正の危険をもたらすことも指摘している。

電圧故障インジェクション

電圧故障インジェクション(FI)、別名電圧グリッチングは、システムの電源を一瞬過電圧または低電圧にするもの。これは非常に古いタイプの攻撃であり、研究者は、スマートカードが2十年前にこのアプローチに対して強化されたことを指摘し、チップメーカーがこの特定の攻撃ベクトルを忘れていることを示唆している。

しかし、彼らは、最近の複雑な電力ツリーと高い電力消費率により、システムオンチップ(SoC)を保護することがより複雑になったことを認めている。

このタイプの攻撃は、過去に older NVIDIA Tegra X1 SoCに対して可能であった。しかし、新しいTegra X2 SoC(「Parker」)は、Teslaのオートパイロットの半自律走行システムや、Mercedes-BenzやHyundai車両で使用されているシステムに搭載されている。

新しい論文は、Tegra X2 SoCに対する電圧グリッチング攻撃を実証し、システムの内部ROM(iROM)からコンテンツを抽出することができた。メーカーの知的財産を危殆化するだけでなく、Trusted Code Executionを完全に無効化することができる。

恒久的な危殆化が可能

さらに、この侵入は脆弱または必ずしも再起動時に破壊されるわけではない。研究者は、Root of Trust(RoT)を恒久的に無効化できる「ハードウェアインプラント」を開発した。

ドイツの研究者によって開発された「クラウバーサーキット」の図 – Tegra X2のRoot of Trustを操作できる恒久的なハードウェア改変。

ドイツの研究者によって開発された「クラウバーサーキット」の図 – Tegra X2のRoot of Trustを操作できる恒久的なハードウェア改変。 ソース: https://arxiv.org/pdf/2108.06131.pdf

この脆弱性をマッピングするために、研究者はX2の隠されたドキュメントについての情報を求めた – L4Tパッケージの一部として含まれている隠しヘッダーファイル。マッピングは、オンラインドキュメントに記載されているJetson TX2のブートフローで説明されている。

TX2のブートソフトウェアのフロー制御。

TX2のブートソフトウェアのフロー制御。 ソース: https://docs.nvidia.com/

しかし、彼らは、必要な情報を漏洩したヘッダーファイルから得たものの、NVIDIA関連のコードを探すためにGitHubを探索することで大きな助けを受けたことも指摘している:

私たちがNVIDIAからヘッダーファイルが提供されていることを知る前に、GitHubでそれを探した。NVIDIAのコードを含むリポジトリを見つけたほか、”switch-bootroms”というリポジトリも見つけた。このリポジトリには、Tegra SoCsのモデル番号T210とT214のリークされたBRソースコードが含まれている。T210はTegra X1(コーディネーム”Erista”)のオリジナルモデルであり、T214は更新されたバージョンであり、Tegra X1+(コーディネーム”Mariko”)とも呼ばれる。X1+には、より高速なクロック速度があり、リポジトリのコメントとコードから判断すると、FIに対して強化されている。私たちの調査において、このコードへのアクセスは私たちのX2の理解を大幅に高めた。

(脚注は私によってハイパーリンクに変換されました)

すべてのファスと暗号化コードは、新しい方法で発見され、ブートローダーシステムの後半は成功裏に解読された。この脆弱性の最も注目すべき成果は、専用のハードウェアを使用して再起動を超えて持続させる能力であり、これは最初にTeam XecutorによってX1チップシリーズのNintendo Switchインプラントのために開発された技術である。

緩和策

論文は、XシリーズSoCの将来のバージョンを電圧グリッチング攻撃から保護するために使用できるいくつかのハードニング方法を示唆している。NVIDIAと話し合った結果、同社は、既存のSoCの場合、ボードレベルの変更が役立つ可能性があると示唆し、熱や溶剤による分解に対して耐性のあるエポキシの使用を提案した。回路が簡単に分解できない場合、危殆化することは非常に難しい。

論文は、SoC用の専用のプリント基板(PCB)を使用することで、カップリングキャパシタの必要性を排除できることを示唆しており、これは説明されている攻撃の一部を形成する。

将来のSoC設計の場合、NVIDIAによって最近特許されたクロスドメイン電圧グリッチ検出回路を使用することで、悪意のある、または疑わしい電圧の乱れの場合に警報をトリガーできる。

ソフトウェアを介して問題に対処することは、利用されている故障の特性を理解してソフトウェアレベルで対処することが難しいため、より大きな課題である。

論文は、明らかに驚いたように、ほとんどの明らかなセーフガードが時間の経過とともに古いX1チップを保護するために進化してきたが、X2には存在しないことを観察している。

論文は次のように結論付けている:

メーカーと設計者は、すでに2十年以上前から存在する「単純」なハードウェア攻撃を忘れないでください。

mm

機械学習に関するライター、ヒューマンイメージシンセシスのドメインスペシャリスト。Metaphysic.aiの研究コンテンツ責任者を務めた。