CybersÀkerhet
NVIDIA bekrÀftar sÄrbarhet för spÀnningsslÄattack pÄ Tesla Autopilot
En ny forskningsrapport från Tyskland avslöjar att NVIDIA har bekräftat en hårdvarusårbarhet som tillåter en angripare att få privilegerad kontroll över kodkörning för Teslas autopilotsystem. Attacken innebär en “klassisk” metod för att destabilisera hårdvaran genom att införa spänningsstörningar, vilket i detta fall möjliggör låsning av en bootloader som vanligtvis är inaktiverad för konsumenter och avsedd för laboratorieförhållanden.
Attacken är också giltig för Mercedes-Benz infotainmentsystem, om än med uppenbarligen färre potentiellt skadliga konsekvenser.
Rapporten entitlad Den glömda hotet av spänningsslåning: En fallstudie på Nvidia Tegra X2 SoCs, kommer från Technische Universitat Berlin, och följer upp på några av samma forskares nyliga arbete som avslöjar en liknande exploit i AMD Secure Encrypted Virtualization, publicerad den 12 augusti.
Rapporten anger:
Vi rapporterade ansvarsfullt våra fynd till Nvidia, inklusive vår experimentella inställning och parametrar. Nvidia rekonstruerade våra experiment och bekräftade att felinjektion påverkar de testade Tegra Parker SoC och tidigare chip. Enligt dem skulle alla nyare Tegra SoC innehålla motåtgärder för att mildra dessa typer av attacker. Dessutom föreslog de motåtgärder för att minska effektiviteten av spänningssättningsinjektion på sårbara chip…
Rapporten anger att den typ av attack som demonstreras i deras forskning kunde tillåta en motståndare att ändra systemets firmware för att manipulera väsentliga kontrollsystem, inklusive hur ett autonomt fordon reagerar på mänskliga hinder.
De noterar att även manipulation av cockpitdisplayssystem medför verklig fara, vilket möjliggör visning av felaktig information om nuvarande körhastighet och annan information som är väsentlig för det säkra körandet av fordonet.
Spänningssättningsinjektion
Spänningssättningsinjektion (FI), också känd som spänningsslåning, över- eller under-spänner systemförsörjningen för en stund. Det är en mycket gammal form av attack; forskarna noterar att smarta kort har hårdats mot denna metod för två decennier sedan, och föreslår att chip-tillverkare har effektivt glömt bort denna specifika attackvektor.
Men de erkänner att skydd av ett System on a Chip (SoC) har blivit mer komplext under de senaste åren på grund av komplexa effekttorn och högre effektförbrukning som kan förvärra den potentiella störning som orsakas av en störd strömförsörjning.
Attacker av denna typ har visat sig vara möjliga mot den äldre NVIDIA Tegra X1 SoC tidigare. Men den nyare Tegra X2 SoC (‘Parker’) finns i mer kritiska system, inklusive Teslas Autopilot semi-autonoma körningssystem, samt i system som används av Mercedes-Benz och Hyundai fordon.
Den nya rapporten demonstrerar en spänningsslåningsattack på Tegra X2 SoC som tillåter forskarna att extrahera innehåll från systemets interna Read-Only Memory (iROM). Förutom att äventyra tillverkarnas IP, möjliggör detta den totala inaktiveringen av Trusted Code Execution.
Permanent kompromiss möjlig
Dessutom är intrången inte skör eller nödvändigtvis utplånad vid omstart: forskarna utvecklade en ‘hardware-implantat’ som kan permanent inaktivera Root of Trust (RoT).
Diagram över en ‘crowbar-circuit’ utvecklad av de tyska forskarna – en permanent hårdvarumodifikation som kan manipulera Root of Trust i Tegra X2. Källa: https://arxiv.org/pdf/2108.06131.pdf
För att kartlägga exploiten, försökte forskarna att låsa upp dold dokumentation om X2 – dolda header-filer som ingår som en del av L4T-paketet. Mappningarna beskrivs, om än inte explicit, i online-dokumentation för Jetson TX2 Boot Flow.
Flödeskontroll av TX2:s boot-program. Källa: https://docs.nvidia.com/
Men trots att de kunde erhålla den nödvändiga informationen från de exfiltrerade header-filerna, noterar forskarna att de också fick betydande hjälp genom att söka på GitHub efter obskyra NVIDIA-relaterade kod:
Innan vi förstod att header-filen erbjuds av Nvidia, sökte vi efter den på GitHub. Förutom att hitta ett repository som innehåller Nvidia-koden, avslöjade sökningen också ett repository som kallas ”switch-bootroms”. Detta repository innehåller läckt BR-källkod för Tegra SoC med modellnummer T210 och T214, där T210 är den ursprungliga modellen av Tegra X1 (kodnamn ”Erista”), och T214 är en uppdaterad version, också kallad Tegra X1+ (kodnamn ”Mariko”). X1+ innehåller snabbare klockhastigheter och, enligt kommentarer och kod i repositoryt, är den hårdad mot FI. Under vår undersökning ökade tillgången till denna kod avsevärt vår förståelse av X2.’
(Fotnoter omvandlade till hyperlänkar av mig)
Alla fuser och kryptografiska koder avslöjades av den nya metoden, och de senare stadierna av bootloader-systemet krypterades framgångsrikt. Det mest anmärkningsvärda resultatet av exploiten är möjligen förmågan att göra den bestående över omstarter via dedikerad hårdvara, en teknik som först utvecklades av Team Xecutor för Nintendo Switch-implantat på X1-chipserien.
Mitigeringar
Rapporten föreslår ett antal förstärkningsmetoder som kan göra framtida iterationer av X-seriens SoC resistenta mot spänningsslåningsattacker. I diskussion med NVIDIA, föreslog företaget att i fallet med befintliga SoC, skulle brädsnivåändringar vara hjälpsamma, inklusive användning av epoxier som är resistenta mot nedbrytning av värme och lösningsmedel. Om kretsen inte kan tas isär lätt, är det mycket svårare att kompromettera.
Rapporten föreslår också att en dedikerad tryckt kretskort (PCB) för SoC är ett sätt att utesluta behovet av kopplingskondensatorer, som utgör en del av den beskrivna attacken.
För framtida design av SoC, kan användning av en cross-domain spänningsslåningsdetekteringskrets som nyligen patenterats av NVIDIA möjliggöra utlösande av varningar i händelse av skadliga eller misstänkta spänningsstörningar.
Att hantera problemet via programvara är mer av en utmaning, eftersom egenskaperna hos de fel som utnyttjas är svåra att förstå och motverka på en programvarunivå.
Rapporten observerar, tydligen med viss överraskning, att de flesta av de uppenbara skyddsåtgärderna har utvecklats över tiden för att skydda den äldre X1-chipen, men är frånvarande i X2.
Rapporten avslutar:
‘Tillverkare och designers bör inte glömma bort tydliga hårdvaruattacker som har funnits i mer än två decennier.’
