NVIDIA Подтвердила Уязвимость Атаки Глитча Напряжения на Системе Автопилота Tesla

Новый исследовательский документ из Германии раскрывает, что NVIDIA подтвердила аппаратную уязвимость, которая позволяет атакующему получить привилегированный контроль над выполнением кода для системы автопилота Tesla. Атака включает в себя “классический” метод дестабилизации аппаратуры путем введения скачков напряжения, который в данном случае позволяет разблокировать загрузчик, обычно отключенный для потребителей и предназначенный для лабораторных условий.

Атака также действительна для информационно-развлекательной системы Mercedes-Benz, хотя с очевидно меньшими потенциально вредными последствиями.

Документ назван Забытая Угроза Глитча Напряжения: Кейс-Стади на Nvidia Tegra X2 SoCs, и исходит из Technische Universitat Berlin, продолжая некоторые из исследований тех же исследователей, недавно раскрытых podobную эксплуатацию в AMD Secure Encrypted Virtualization, опубликованную 12 августа.

Новый документ гласит:

Мы ответственно раскрыли наши результаты Nvidia, включая наш экспериментальный набор и параметры. Nvidia воспроизвела наши эксперименты и подтвердила, что внедрение ошибок влияет на протестированный Tegra Parker SoC и более ранние чипы. Согласно им, все новые Tegra SoCs будут содержать противодействия для смягчения этих типов атак. Кроме того, они предложили противодействия для снижения эффективности внедрения ошибок напряжения на уязвимых чипах…

Документ гласит, что тип атаки, продемонстрированный в их исследовании, может позволить противнику изменить прошивку системы для вмешательства в важные системы управления, включая то, как автономный автомобиль реагирует на человеческие препятствия.

Они отмечают, что даже вмешательство в системы дисплея кабины несет в себе реальную опасность, позволяя отображать неверную информацию о текущей скорости вождения и другой информации, которая необходима для безопасной эксплуатации транспортного средства.

Внедрение Ошибки Напряжения

Внедрение ошибки напряжения (FI), также известное как глитч напряжения, просто переводит или недовольствует систему питания на момент. Это очень старая форма атаки; исследователи отмечают, что смарт-карты были защищены от этого подхода два десятилетия назад, и предполагают, что производители микрочипов фактически забыли об этом конкретном векторе атаки.

Однако они признают, что защита системы на кристалле (SoC) стала более сложной в последние годы из-за сложных деревьев питания и более высоких скоростей потребления энергии, которые могут усугубить потенциальное нарушение, вызванное возмущенной системой питания.

Атаки такого типа показали свою возможность против более старого NVIDIA Tegra X1 SoC в прошлом. Однако более новый Tegra X2 SoC (‘Parker’) присутствует в более критических системах, включая полуавтономную систему вождения Tesla, а также в системах, используемых Mercedes-Benz и Hyundai vehicles.

Новый документ демонстрирует атаку глитча напряжения на Tegra X2 SoC, которая позволила исследователям извлечь содержимое из внутренней памяти только для чтения (iROM) системы. Помимо компрометации интеллектуальной собственности производителей, это позволяет полностью отключить доверенное выполнение кода.

Возможен Постоянный Компромисс

Кроме того, вторжение не является хрупким или обязательно уничтоженным при перезагрузке: исследователи разработали “аппаратный имплантат”, способный постоянно отключить корень доверия (RoT).

Диаграмма ‘crowbar circuit’, разработанного немецкими исследователями – постоянная аппаратная модификация, способная манипулировать корнем доверия в Tegra X2. Source: https://arxiv.org/pdf/2108.06131.pdf

Чтобы составить карту эксплуатации, исследователи искали скрытую документацию о X2 – скрытые файлы заголовков, включенные в состав L4T package. Отображения описаны, хотя и не явно, в онлайн-документации для Jetson TX2 Boot Flow.

Управление потоком загрузки программного обеспечения TX2. Source: https://docs.nvidia.com/

Однако, хотя они смогли получить необходимую информацию из экстрагированных файлов заголовков, исследователи отмечают, что они также получили значительную помощь, просматривая GitHub для неясного кода, связанного с NVIDIA:

До того, как мы поняли, что файл заголовка предлагается Nvidia, мы искали его на GitHub. Помимо нахождения репозитория, который включает код Nvidia, поиск также обнаружил репозиторий под названием ”switch-bootroms”. Этот репозиторий включает утечку исходного кода BR для Tegra SoCs с номерами моделей T210 и T214, тогда как T210 является оригинальной моделью Tegra X1 (кодовое название ”Erista”), и T214 является обновленной версией, также называемой Tegra X1+ (кодовое название ”Mariko”). X1+ включает более быстрые тактовые частоты и, судя по комментариям и коду в репозитории, защищен от FI. Во время наших расследований доступ к этому коду значительно увеличил наше понимание X2.’

(Сноски преобразованы в гиперссылки мной)

Все предохранители и криптографические коды были обнаружены новым методом, и более поздние стадии системы загрузчика были успешно расшифрованы. Наиболее заметным достижением эксплуатации является, возможно, способность сделать ее постоянной через перезагрузки с помощью специального аппаратного обеспечения, метод, впервые разработанный Team Xecutor для имплантата Nintendo Switch на серии чипов X1.

Смягчение

Документ предлагает ряд методов укрепления, которые могли бы сделать будущие итерации SoC X-series устойчивыми к атакам глитча напряжения. Обсуждая этот вопрос с NVIDIA, компания предложила, что в случае существующих SoC полезными будут изменения на уровне платы, включая использование эпоксидных смол, устойчивых к разложению под воздействием тепла и растворителей. Если схему нельзя легко разобрать, то ее намного сложнее скомпрометировать.

Документ также предлагает, что специальная печатная плата (PCB) для SoC является способом исключить необходимость в конденсаторах связи, которые являются частью описанной атаки.

Для будущих конструкций SoC использование схемы обнаружения глитча напряжения между доменами, недавно запатентованной NVIDIA, может позволить срабатывать сигналы тревоги в случае злонамеренных или подозрительных нарушений напряжения.

Решение проблемы через программное обеспечение является более сложной задачей, поскольку характеристики ошибок, которые используются, трудно понять и противостоять на уровне программного обеспечения.

Документ отмечает, видимо, с некоторым удивлением, что большинство очевидных мер безопасности были разработаны с течением времени для защиты более старого чипа X1, но отсутствуют в X2.

Отчет заключает:

‘Производители и разработчики не должны забывать о, казалось бы, простых аппаратных атаках, которые существуют уже более двух десятилетий.’