NVIDIA, Tesla Autopilot

새로운 연구 논문에서 독일의 연구진은 NVIDIA가 Tesla의 자율 주행 시스템에서 특권 있는 코드 실행을 얻을 수 있는 하드웨어 취약성을 확인했다고 밝혔다. 이 공격은 하드웨어를 불안정하게 만드는 ‘클래식’ 방법으로 전압 급등을 일으키는 것으로, 이 경우 일반적으로 소비자에게 비활성화된 부트로더를 잠금 해제할 수 있다.

이 공격은 Mercedes-Benz 인포테인먼트 시스템에서도 유효하지만, 훨씬 더 적은 잠재적으로 유해한 결과가 있다.

논문은 NVIDIA Tegra X2 SoCs에 대한 전압 글리치 공격의 잊혀진 위협: 사례 연구라는 제목으로 Technische Universitat Berlin에서 나왔으며, 일부 연구진의 최근 연구에서 AMD Secure Encrypted Virtualization의 유사한 취약점을 공개한 것을 따른 것이다.

새로운 논문은 다음과 같이 말한다:

우리는 실험 설정과 매개변수를 포함하여 우리의 발견을 NVIDIA에 책임 있게 공개했다. NVIDIA는 우리의 실험을 재구성하고 테스트된 Tegra Parker SoC와 이전 칩에 오류 주입이 영향을 미친다는 것을 확인했다. 그들에게 따르면, 모든 새로운 Tegra SoCs에는 이러한 유형의 공격을 완화하기 위한 대책이 포함될 것이다. 또한 취약한 칩에서 전압 오류 주입의 효과를 줄이기 위한 대책을 제안했다…

논문은 연구에서 示された 공격 유형이 적대자가 펌웨어를 변경하여 인간 장애물에 대한 자율 주행 차량의 반응을 포함하여 필수적인 제어 시스템을 조작할 수 있도록 할 수 있다고 말한다.

그들은 또한 조종석 디스플레이 시스템을 조작하는 것이 실제적인 위험을 초래할 수 있으며, 현재 주행 속도 및 차량의 안전한 운행에 필수적인 기타 정보의 잘못된 정보를 표시할 수 있다고 주목한다.

전압 오류 주입

전압 오류 주입(Voltage Fault Injection, FI), 즉 전압 글리치(Voltage Glitching)는 시스템 전원 공급을 순간적으로 과전압 또는 저전압으로 만든다. 이는 매우 오래된 공격 형태로, 연구진은 스마트 카드가 2십년 전부터 이러한 접근 방식에 대해 강화되었다고 주목한다. 그러나 시스템 온 칩(System on a Chip, SoC)을 보호하는 것은 최근 몇 년 동안 복잡한 전력 트리와 더 높은 전력 소비율로 인해 복잡해졌으며, 이는 혼란된 전원 공급으로 인한 잠재적인 혼란을 악화시킬 수 있다.

이러한 유형의 공격은 과거에 older NVIDIA Tegra X1 SoC에 대해 가능한 것으로 밝혀졌다. 그러나 새로운 Tegra X2 SoC(‘Parker’)는 Tesla의 자율 주행 반자율 주행 시스템을 포함하여 더 중요한 시스템에서 사용되며, Mercedes-Benz와 Hyundai 차량에서도 사용된다.

새로운 논문은 Tegra X2 SoC에서 전압 글리치 공격을 示しており, 이는 시스템의 내부 읽기 전용 메모리(iROM)에서 내용을 추출할 수 있도록 한다. 제조업체의 지적 재산권을 위협할 뿐만 아니라, 이 공격은 신뢰할 수 있는 코드 실행을 완전히 비활성화할 수 있다.

영구적인 취약점 가능

さらに, 침입은 취약하지 않으며 반드시 재启动에 의해 제거되지 않는다: 연구진은 루트 오브 트러스트(Root of Trust, RoT)를 영구적으로 비활성화할 수 있는 ‘하드웨어 이식체’를 개발했다.

도면은 Tegra X2에서 루트 오브 트러스트를 조작할 수 있는 독일 연구진이 개발한 ‘크로우바 크로바 회로’의 도면이다. 출처: https://arxiv.org/pdf/2108.06131.pdf

공격을 매핑하기 위해, 연구진은 X2에 대한 숨겨진 문서를 열람하기 위해 L4T 패키지의 일부로 포함된 숨겨진 헤더 파일을 찾으려고 했다. 매핑은 기술되어 있지만 명시적으로는 온라인 문서에 기술되어 있다.

TX2의 부트 소프트웨어 흐름 제어 출처: https://docs.nvidia.com/

그러나 헤더 파일에서 필요한 정보를 얻을 수 있었음에도 불구하고, 연구진은 NVIDIA 관련 코드를 찾기 위해 GitHub를 검색하는 데 상당한 도움을 받았다:

우리가 NVIDIA에서 헤더 파일을 제공한다는 것을 깨닫기 전에, 우리는 GitHub에서 이를 검색했다. NVIDIA 코드를 포함하는 저장소를 찾은 것 외에도, 우리는 ‘switch-bootroms’라는 저장소를 발견했다. 이 저장소에는 Tegra SoCs의 모델 번호 T210과 T214에 대한 유출된 BR 소스 코드가 포함되어 있다. T210은 원래 Tegra X1(코드명 ‘Erista’)의 모델 번호이며, T214는 업데이트된 버전으로도 알려져 있으며 코드명 ‘Mariko’이다. X1+에는 더 빠른 클록 속도가 포함되어 있으며, 저장소의 주석과 코드를 판단했을 때, 이는 FI에 강화된 것으로 보인다. 우리의 조사 동안 이 코드에 대한 접근은 우리의 X2에 대한 이해를 크게 증가시켰다.’

(주석이 하이퍼링크로 변환됨)

모든 퓨즈와 암호 코드는 새로운 방법으로 발견되었으며, 부트로더 시스템의 후반부는 성공적으로 해독되었다. 공격의 가장 주목할만한 성과는 아마도 전용 하드웨어를 통해 재시작을 통해 지속할 수 있는 능력일 것이다. 이는 처음으로 Nintendo Switch 임플란트에서 X1 칩 시리즈에 대해 개발된 기술이다.

대책

논문은 X-series SoC의 미래 버전에서 전압 글리치 공격에 저항할 수 있는 강화 방법을 제안한다. NVIDIA와의 논의에서, 회사는 기존 SoC의 경우, 열과 용매에 의해 분해되는 에폭시를 사용하는 보드 수준의 변경이 유용할 것이라고 제안했다. 회로를 쉽게 분리할 수 없으면, 그것을 위협하는 것이 훨씬 더 어렵다.

논문은 또한 SoC 전용 인쇄 회로 기판( Printed Circuit Board, PCB)을 사용하는 것이 공격에서 설명된 커플링 캐패시터의 필요성을 제거하는 방법 중 하나임을 제안한다.

미래의 SoC 설계에서는 NVIDIA가 최근 특허를 받은 크로스 도메인 전압 글리치 감지 회로를 사용하여 악의적이거나 의심스러운 전압 혼란의 경우 경고를 트리거할 수 있다.

소프트웨어를 통해 문제를 해결하는 것은 더 큰 도전이다. 왜냐하면 악용되는 오류의 특성은 소프트웨어 수준에서 이해하고 대응하기가 어렵기 때문이다.

논문은 대부분의 明顯한 안전 대책이 시간이 지남에 따라 오래된 X1 칩을 보호하기 위해 발전했지만 X2에는 없다는 것을 관찰한다.

보고서는 다음과 같이 결론을 내린다:

‘제조업체와 설계자는 이미 20년 이상 동안 존재하는 것으로 보이는 단순한 하드웨어 공격을 잊지 말아야 한다.’