NVIDIA bevestigt kwetsbaarheid voor voltage glitch-aanval op Tesla Autopilot

Een nieuw onderzoeksrapport uit Duitsland onthult dat NVIDIA een hardwarekwetsbaarheid heeft bevestigd die een aanvaller in staat stelt om bevoorrechte controle te krijgen over code-uitvoering voor het Tesla-autopilotsysteem. De aanval maakt gebruik van een ‘klassieke’ methode om hardware te destabiliseren door voltage-stoten toe te dienen, waardoor in dit geval de bootloader kan worden ontgrendeld die normaal gesproken is uitgeschakeld voor consumenten en alleen bedoeld is voor laboratoriumomstandigheden.

De aanval is ook geldig voor het infotainmentsysteem van Mercedes-Benz, hoewel met duidelijk minder potentieel schadelijke gevolgen.

Het rapport, getiteld De vergeten bedreiging van voltage glitching: een case study op Nvidia Tegra X2 SoCs, komt van de Technische Universitat Berlin, als follow-up op eerdere werk van sommige van dezelfde onderzoekers die een soortgelijke exploit in AMD Secure Encrypted Virtualization hebben onthuld, gepubliceerd op 12 augustus.

Het nieuwe rapport stelt:

We hebben onze bevindingen verantwoordelijk aan Nvidia gemeld, inclusief onze experimentele setup en parameters. Nvidia heeft onze experimenten gereconstrueerd en bevestigd dat foutinjectie een impact heeft op de geteste Tegra Parker SoC en eerdere chips. Volgens hen zouden alle nieuwere Tegra SoCs maatregelen bevatten om dit type aanvallen te mitigeren. Bovendien hebben ze maatregelen voorgesteld om de effectiviteit van voltage fault injection op kwetsbare chips te verminderen…

Het rapport stelt dat het type aanval dat in hun onderzoek wordt gedemonstreerd, een tegenstander in staat zou stellen om de systeemfirmware te wijzigen om essentiële besturingssystemen te manipuleren, inclusief de manier waarop een autonoom voertuig reageert op menselijke obstakels.

Ze merken op dat zelfs het manipuleren van cockpitdisplay-systemen een echt gevaar met zich meebrengt, waardoor onjuiste informatie over de huidige rijsnelheid en andere informatie die essentieel is voor de veilige werking van het voertuig, kan worden weergegeven.

Voltage Fault Injection

Voltage Fault Injection (FI), ook bekend als Voltage Glitching, zorgt er simpelweg voor dat het systeem voor een moment over- of onder-gespannen wordt. Het is een zeer oude vorm van aanval; de onderzoekers merken op dat smart cards twee decennia geleden al zijn gehard tegen deze aanpak en suggereren dat chipfabrikanten effectief zijn vergeten over deze specifieke aanvalsvector.

Echter, ze erkennen dat het beschermen van een System on a Chip (SoC) complexer is geworden in recente jaren vanwege complexe vermogensbomen en hogere vermogensverbruik die de potentiële verstoring die wordt veroorzaakt door een verstoord vermogensvoorziening, kunnen verergeren.

Aanvallen van dit type hebben eerder al aangetoond dat ze mogelijk zijn tegen de oudere NVIDIA Tegra X1 SoC. Echter, de nieuwere Tegra X2 SoC (‘Parker’) is aanwezig in meer kritieke systemen, waaronder Tesla’s Autopilot semi-autonome rij systeem, evenals in systemen die worden gebruikt door Mercedes-Benz en Hyundai voertuigen.

Het nieuwe rapport toont een Voltage Glitching-aanval op de Tegra X2 SoC die de onderzoekers in staat stelde om inhoud te extraheren uit de interne Read-Only Memory (iROM) van het systeem. Naast het compromitteren van de IP van de fabrikanten, maakt dit het volledig uitschakelen van Trusted Code Execution mogelijk.

Permanente compromittering mogelijk

Bovendien is de inbraak niet kwetsbaar of noodzakelijkerwijs uitgeschakeld bij opnieuw opstarten: de onderzoekers hebben een ‘hardware-implantaat’ ontwikkeld dat permanent de Root of Trust (RoT) kan uitschakelen.

Diagram van een ‘crowbar circuit’ ontwikkeld door de Duitse onderzoekers – een permanente hardware-modificatie die in staat is om de Root of Trust in de Tegra X2 te manipuleren. Source: https://arxiv.org/pdf/2108.06131.pdf

Om de exploit in kaart te brengen, zochten de onderzoekers naar verborgen documentatie over de X2 – verborgen header-bestanden die deel uitmaken van de L4T-pakket. De mappings worden beschreven, hoewel niet expliciet, in online-documentatie voor de Jetson TX2 Boot Flow.

Flow control van de TX2-bootsoftware. Source: https://docs.nvidia.com/

Echter, hoewel ze in staat waren om de benodigde informatie te verkrijgen uit de geëxtraheerde header-bestanden, merken de onderzoekers op dat ze ook significante hulp ontvingen door GitHub te doorzoeken naar obscure NVIDIA-gerelateerde code:

Voordat we realiseerden dat het header-bestand wordt aangeboden door Nvidia, hebben we ernaar gezocht op GitHub. Naast het vinden van een repository die de Nvidia-code bevat, onthulde de zoekopdracht ook een repository genaamd ”switch-bootroms”. Deze repository bevat gelekte BR-broncode voor de Tegra SoCs met modelnummers T210 en T214, waarbij T210 het oorspronkelijke model is van de Tegra X1 (codenaam ”Erista”), en T214 een bijgewerkte versie is, ook genaamd Tegra X1+ (codenaam ”Mariko”). De X1+ bevat snellere kloksnelheden en, te oordelen naar comments en code in de repository, is gehard tegen FI. Tijdens ons onderzoek heeft toegang tot deze code onze kennis van de X2 aanzienlijk vergroot.’

(Voetnoten omgezet in hyperlinks door mij)

Alle fuses en cryptografische codes werden onthuld door de nieuwe methode, en de latere stadia van het bootloader-systeem werden met succes gedecodeerd. De meest opvallende prestatie van de exploit is waarschijnlijk de mogelijkheid om deze persistent te maken over restarts heen via een speciaal ontworpen hardware, een techniek die voor het eerst is ontwikkeld door Team Xecutor voor de Nintendo Switch-implantaat op de X1-chipserie.

Mitigerende maatregelen

Het rapport suggereert een aantal verhardingsmethoden die toekomstige iteraties van de X-series SoC kunnen beschermen tegen voltage glitching-aanvallen. In discussie met NVIDIA, stelde het bedrijf voor dat, in het geval van bestaande SoCs, wijzigingen op bordniveau nuttig zouden zijn, waaronder het gebruik van epoxy’s die resistent zijn tegen decompositie door hitte en oplosmiddelen. Als het circuit niet gemakkelijk kan worden gedemonteerd, is het veel moeilijker om te compromitteren.

Het rapport suggereert ook dat een speciaal ontworpen printplaat (PCB) voor de SoC een manier is om de noodzaak van koppelcondensatoren uit te sluiten, die deel uitmaken van de beschreven aanval.

Voor toekomstige SoC-ontwerpen kan het gebruik van een cross-domain voltage glitch detectie-circuit dat onlangs is gepatenteerd door NVIDIA, waarschuwingen kan activeren in het geval van kwaadwillige of vermoede voltage-storingen.

Het aanpakken van het probleem via software is een grotere uitdaging, omdat de kenmerken van de fouten die worden uitgebuit moeilijk zijn te begrijpen en te counteren op software-niveau.

Het rapport merkt op, schijnbaar met enige verbazing, dat de meeste van de voor de hand liggende beveiligingsmaatregelen in de loop van de tijd zijn geëvolueerd om de oudere X1-chip te beschermen, maar afwezig zijn in de X2.

Het rapport concludeert:

‘Fabrikanten en ontwerpers moeten niet vergeten over ogenschijnlijk eenvoudige hardware-aanvallen die al meer dan twee decennia bestaan.’