NVIDIA Confirma Vulnerabilidade de Ataque de Glitch de Voltagem no Autopiloto Tesla

Um novo artigo de pesquisa da Alemanha revela que a NVIDIA confirmou uma vulnerabilidade de hardware que permite a um atacante obter controle privilegiado da execução de código para o sistema de autopiloto da Tesla. O ataque envolve um método “clássico” de desestabilizar o hardware introduzindo surtos de voltagem, que, neste caso, permite a desbloqueio de um bootloader que normalmente está desabilitado para os consumidores e destinado a condições de laboratório.

O ataque também é válido para o sistema de infotainment da Mercedes-Benz, embora com consequências potencialmente menos danosas.

O artigo, intitulado A Ameaça Esquecida de Glitch de Voltagem: Um Estudo de Caso sobre os SoCs Nvidia Tegra X2, vem da Technische Universitat Berlin, seguindo alguns dos mesmos pesquisadores que recentemente divulgaram uma exploração semelhante na Virtualização Segura Criptografada da AMD, publicada em 12 de agosto.

O novo artigo afirma:

Nós divulgamos responsavelmente nossas descobertas para a Nvidia, incluindo nosso conjunto de experimentos e parâmetros. A Nvidia reconstruiu nossos experimentos e confirmou que a injeção de falha afeta o SoC Tegra Parker testado e chips anteriores. De acordo com eles, todos os SoCs Tegra mais novos conteriam contramedidas para mitigar esses tipos de ataques. Além disso, eles propuseram contramedidas para reduzir a eficácia da injeção de falha de voltagem em chips vulneráveis…

O artigo afirma que o tipo de ataque demonstrado em sua pesquisa poderia permitir que um adversário alterasse o firmware do sistema para manipular sistemas de controle essenciais, incluindo a forma como um veículo autônomo reage a obstáculos humanos.

Eles observam que mesmo a manipulação de sistemas de exibição de cockpit pode representar um perigo real, permitindo a exibição de informações falsas sobre a velocidade de condução atual e outras informações essenciais para a operação segura do veículo.

Injeção de Falha de Voltagem

A Injeção de Falha de Voltagem (FI), também conhecida como Glitch de Voltagem, simplesmente sobre ou sub-volta a alimentação do sistema por um momento. É uma forma muito antiga de ataque; os pesquisadores observam que os cartões inteligentes foram endurecidos contra essa abordagem há duas décadas e sugerem que os fabricantes de chips efetivamente esqueceram dessa vetor de ataque particular.

No entanto, eles reconhecem que proteger um Sistema em um Chip (SoC) se tornou mais complexo nos últimos anos devido a árvores de alimentação complexas e taxas mais altas de consumo de energia que podem exacerbam a perturbação potencial causada por uma alimentação de energia perturbada.

Ataques desse tipo provaram ser possíveis contra o SoC NVIDIA Tegra X1 mais antigo no passado. No entanto, o SoC Tegra X2 mais recente (‘Parker’) está presente em sistemas mais críticos, incluindo o sistema de autopiloto semi-autônomo da Tesla, bem como em sistemas usados pela Mercedes-Benz e veículos Hyundai.

O novo artigo demonstra um ataque de Glitch de Voltagem no SoC Tegra X2 que permitiu aos pesquisadores extrair conteúdo da Memória Somente Leitura (iROM) interna do sistema. Além de comprometer a propriedade intelectual dos fabricantes, isso permite a desativação total da Execução de Código Confiável.

Comprometimento Permanente Possível

Além disso, a incursão não é frágil ou necessariamente eliminada na reinicialização: os pesquisadores desenvolveram um ‘implante de hardware’ capaz de desativar permanentemente a Raiz de Confiança (RoT).

Diagrama de um ‘circuito crowbar’ desenvolvido pelos pesquisadores alemães – uma modificação de hardware permanente capaz de manipular a Raiz de Confiança no Tegra X2. Fonte: https://arxiv.org/pdf/2108.06131.pdf

Para mapear a exploração, os pesquisadores buscaram desbloquear documentação oculta sobre o X2 – arquivos de cabeçalho ocultos incluídos como parte do pacote L4T. As mapeias são descritas, embora não explicitamente, na documentação online para o Fluxo de Inicialização do Jetson TX2.

Controle de fluxo do software de inicialização do TX2. Fonte: https://docs.nvidia.com/

No entanto, embora tenham conseguido obter as informações necessárias a partir dos arquivos de cabeçalho exfiltrados, os pesquisadores observam que também receberam ajuda significativa ao vasculhar o GitHub em busca de código relacionado à NVIDIA:

Antes de perceber que o arquivo de cabeçalho é oferecido pela Nvidia, procuramos por ele no GitHub. Além de encontrar um repositório que inclui o código da Nvidia, a busca também descobriu um repositório chamado ”switch-bootroms”. Este repositório inclui código-fonte de BR vazado para os SoCs Tegra com números de modelo T210 e T214, enquanto o T210 é o modelo original do Tegra X1 (codinome ”Erista”), e o T214 é uma versão atualizada, também chamada Tegra X1+ (codinome ”Mariko”). O X1+ inclui velocidades de clock mais rápidas e, julgando pelos comentários e código no repositório, é endurecido contra a Injeção de Falha. Durante nossas investigações, o acesso a esse código aumentou significativamente nossa compreensão do X2.’

(Notas de rodapé convertidas em links por mim)

Todos os fusíveis e códigos criptográficos foram descobertos pelo novo método, e as etapas posteriores do sistema de bootloader foram descriptografadas com sucesso. O feito mais notável da exploração é, sem dúvida, a capacidade de torná-la persistente através de reinicializações via hardware dedicado, uma técnica desenvolvida pela primeira vez pela Team Xecutor para o implante do Nintendo Switch na série de chips X1.

Mitigações

O artigo sugere uma série de métodos de endurecimento que poderiam tornar as iterações futuras do SoC X-series resistentes a ataques de glitch de voltagem. Ao discutir o assunto com a NVIDIA, a empresa sugeriu que, no caso de SoCs existentes, mudanças no nível da placa seriam úteis, incluindo o uso de epóxis resistentes à decomposição por calor e solventes. Se o circuito não puder ser facilmente desmontado, é muito mais difícil comprometê-lo.

O artigo também sugere que uma placa de circuito impresso (PCB) dedicada para o SoC é uma forma de excluir a necessidade de capacitores de acoplamento, que fazem parte do ataque descrito.

Para futuros designs de SoC, o uso de um circuito de detecção de glitch de voltagem entre domínios que foi recentemente patenteado pela NVIDIA poderia permitir disparar alertas no caso de perturbações de voltagem maliciosas ou suspeitas.

Abordar o problema via software é mais um desafio, pois as características das falhas sendo exploradas são difíceis de entender e contrariar em um nível de software.

O artigo observa, aparentemente com alguma surpresa, que a maioria das salvaguardas óbvias foi desenvolvida ao longo do tempo para proteger o chip X1 mais antigo, mas estão ausentes no X2.

O relatório conclui:

‘Os fabricantes e designers não devem esquecer sobre ataques de hardware aparentemente simples que existem há mais de duas décadas.’