NVIDIA ยืนยันช่องโหว่การโจมตีด้วย Voltage Glitch บน Tesla Autopilot

วิจัยใหม่จากเยอรมนีเปิดเผยว่า NVIDIA ยืนยันช่องโหว่ฮาร์ดแวร์ที่ทำให้ผู้โจมตีสามารถควบคุมโค้ดการทำงานได้อย่างมีสิทธิ์บนระบบ Autopilot ของ Tesla การโจมตีนี้เกิดจากวิธีการ ‘คลาสสิก’ ในการทำให้ฮาร์ดแวร์ไม่เสถียรโดยการเพิ่มสัญญาณไฟที่ไม่ปกติ ซึ่งในกรณีนี้ทำให้สามารถปลดล็อกบูตโหลดเดอร์ที่ปกติแล้วถูกปิดใช้งานสำหรับผู้บริโภค และมีไว้สำหรับใช้ในห้องปฏิบัติการเท่านั้น

การโจมตีนี้ยังใช้ได้กับระบบ Infotainment ของ Mercedes-Benz แม้ว่าผลกระทบที่อาจเกิดขึ้นจะน้อยกว่า

วิจัยа> ชื่อ การคุกคามที่ถูกลืมของ Voltage Glitching: กรณีศึกษาเกี่ยวกับ Nvidia Tegra X2 SoCs มาจาก Technische Universitat Berlin โดยติดตามผลงานวิจัยล่าสุดของนักวิจัยบางคนเกี่ยวกับ ช่องโหว่แบบเดียวกัน ใน AMD Secure Encrypted Virtualization เผยแพร่ เมื่อวันที่ 12 สิงหาคม

วิจัยใหม่ระบุ:

เราทำการเปิดเผยผลการวิจัยของเราให้กับ Nvidia รวมถึงการเตรียมการทดลองและพารามิเตอร์ Nvidia ได้ทำการทดลองซ้ำและยืนยันว่าการ.inject ฟอลต์จะส่งผลกระทบต่อ Tegra Parker SoC และชิปก่อนหน้า ตามที่พวกเขา ระบุว่า Tegra SoC ใหม่ๆ จะมีการป้องกันการโจมตีแบบนี้ นอกจากนี้ยังแนะนำวิธีการป้องกันเพื่อลดประสิทธิภาพของการโจมตีด้วย Voltage Fault Injection บนชิปที่มีช่องโหว่…

วิจัยระบุว่าการโจมตีแบบที่แสดงในงานวิจัยสามารถทำให้ผู้โจมตีสามารถเปลี่ยนแปลงเฟิร์มแวร์ของระบบเพื่อแทรกแซงระบบควบคุมที่สำคัญ รวมถึงวิธีการที่รถยนต์ไร้คนขับตอบสนองต่ออุปสรรคของมนุษย์

พวกเขายังชี้ให้เห็นว่าการแทรกแซงระบบแสดงผลในห้องโดยสารอาจทำให้เกิดอันตรายได้ โดยการแสดงข้อมูลที่ไม่ถูกต้องเกี่ยวกับความเร็วในการขับขี่ในปัจจุบัน และข้อมูลอื่นๆ ที่จำเป็นต่อการขับขี่ที่ปลอดภัย

Voltage Fault Injection

Voltage Fault Injection (FI) หรือที่รู้จักกันในชื่อ Voltage Glitching เป็นการเพิ่มหรือลดแรงดันไฟฟ้าให้กับระบบ供่ายไฟเป็นช่วงเวลาสั้นๆ เป็นการโจมตีแบบ ‘คลาสสิก’ ที่มีมานานแล้ว; นักวิจัยชี้ให้เห็นว่าสมาร์ทการ์ดได้รับการป้องกันการโจมตีนี้มานานกว่าสองทศวรรษแล้ว และชี้ให้เห็นว่าผู้ผลิตชิปอาจลืมการโจมตีแบบนี้ไป

อย่างไรก็ตาม พวกเขายอมรับว่าการป้องกัน System on a Chip (SoC) มีความซับซ้อนมากขึ้นในหลายปีที่ผ่านมาเนื่องจากต้นไม้พลังงานที่ซับซ้อนและอัตราการบริโภคพลังงานที่สูงขึ้นซึ่งสามารถทำให้การรบกวนของการให้พลังงานที่ถูกรบกวนเป็นไปได้

การโจมตีแบบนี้ได้ พิสูจน์แล้ว ว่าสามารถโจมตี Tegra X1 SoC ที่เก่ากว่าได้ แต่ Tegra X2 SoC (‘Parker’) ที่ใหม่กว่านั้นอยู่ในระบบที่สำคัญกว่า รวมถึงระบบ Autopilot ของ Tesla และระบบที่ใช้ โดย Mercedes-Benz และ Hyundai

วิจัยใหม่แสดงให้เห็นถึงการโจมตี Voltage Glitching บน Tegra X2 SoC ที่ทำให้นักวิจัยสามารถดึงข้อมูลจากหน่วยความจำอ่านอย่างเดียว (iROM) ของระบบได้ นอกจากการละเมิดทรัพย์สินทางปัญญาของผู้ผลิตแล้ว ยังทำให้สามารถปิดการใช้งาน Trusted Code Execution ได้อย่างสมบูรณ์

การโจมตีที่ยั่งยืน

นอกจากนี้ การโจมตีนี้ไม่จำเป็นต้องอ่อนแอหรือถูกทำลายเมื่อระบบเริ่มต้นใหม่: นักวิจัยได้พัฒนาอุปกรณ์ ‘ฮาร์ดแวร์’ ที่สามารถปิดการใช้งาน Root of Trust (RoT) ได้อย่างถาวร

แผนภาพของ ‘crowbar circuit’ ที่พัฒนาโดยนักวิจัยชาวเยอรมัน – การปรับเปลี่ยนฮาร์ดแวร์ถาวรที่สามารถจัดการกับ Root of Trust ใน Tegra X2 Source: https://arxiv.org/pdf/2108.06131.pdf

เพื่อสร้างแผนการโจมตี นักวิจัยได้พยายามค้นหาข้อมูลที่ซ่อนอยู่เกี่ยวกับ X2 – ไฟล์หัวข้อที่ซ่อนอยู่เป็นส่วนหนึ่งของ แพ็คเกจ L4T การแมปถูกอธิบายไว้ แต่ไม่ชัดเจนใน เอกสารออนไลน์ สำหรับ Jetson TX2 Boot Flow

การควบคุมการไหลของซอฟต์แวร์เริ่มต้นของ TX2 Source: https://docs.nvidia.com/

อย่างไรก็ตาม แม้ว่าพวกเขาจะสามารถหาข้อมูลที่จำเป็นจากไฟล์หัวข้อที่ถูกขโมยมาได้ นักวิจัยยังชี้ให้เห็นว่าพวกเขาได้รับการช่วยเหลืออย่างมากจากการค้นหา GitHub สำหรับโค้ดที่เกี่ยวข้องกับ NVIDIA:

ก่อนที่จะรู้ว่าไฟล์หัวข้อนี้ถูกนำเสนอโดย Nvidia เราได้ค้นหามันบน GitHub นอกจากการค้นพบ倉庫ที่รวมโค้ดของ Nvidia แล้ว การค้นหานี้ยังพบ倉庫ที่เรียกว่า “switch-bootroms” ซึ่งรวมโค้ดที่รั่วไหลของ BR สำหรับ Tegra SoCs โดยมีรุ่น T210 และ T214 ในขณะที่ T210 เป็นรุ่นเดิมของ Tegra X1 (รหัส “Erista”) และ T214 เป็นรุ่นที่อัปเดต ซึ่งเรียกว่า Tegra X1+ (รหัส “Mariko”) X1+ มีความเร็วคล็อกที่เร็วขึ้น และจากการแสดงความคิดเห็นและโค้ดใน倉庫นี้ X1+ มีการป้องกันการโจมตีแบบ FI ระหว่างการสอบสวนของเรา การเข้าถึงโค้ดนี้ช่วยเพิ่มความเข้าใจของเราเกี่ยวกับ X2 อย่างมาก ‘

(ส่วนท้ายที่ถูกแปลงเป็นลิงก์โดยฉัน)

ทั้งฟิวส์และโค้ดลับถูกเปิดเผยโดยวิธีการใหม่นี้ และขั้นตอนหลังของระบบบูตโหลดเดอร์ถูกถอดรหัสสำเร็จ การบรรลุผลที่สำคัญที่สุดของการโจมตีนี้อาจเป็นความสามารถในการทำให้การโจมตีนี้คงอยู่ข้ามการรีสตาร์ทโดยใช้ฮาร์ดแวร์แบบเฉพาะ ซึ่งเป็นเทคนิคที่พัฒนาโดย Team Xecutor สำหรับการปลูกฝัง Nintendo Switch บนชุดชิป X1

การป้องกัน

วิจัยแนะนำวิธีการป้องกันที่สามารถทำให้ X-series SoC ในอนาคตต้านทานการโจมตีด้วย Voltage Glitching ได้ ในการอภิปรายกับ NVIDIA บริษัทชี้ให้เห็นว่าสำหรับ SoC ที่มีอยู่ การเปลี่ยนแปลงระดับบอร์ด เช่น การใช้เอป็อกซีที่ต้านทานการย่อยสลายด้วยความร้อนและสารละลาย จะเป็นประโยชน์ หากไม่สามารถแยกวงจรออกจากกันได้ จะยากที่จะทำให้เกิดช่องโหว่

วิจัยยังชี้ให้เห็นว่า PCB ที่อุทิศให้กับ SoC เป็นวิธีหนึ่งในการไม่ต้องใช้แคปาซิเตอร์คู่ ซึ่งเป็นส่วนหนึ่งของการโจมตีที่อธิบายไว้

สำหรับการออกแบบ SoC ในอนาคต การใช้เซอร์กิตตรวจจับการรบกวนแรงดันไฟฟ้าข้ามโดเมนที่ ได้รับสิทธิบัตรล่าสุดโดย NVIDIA อาจช่วยให้สามารถทริกเกอร์เตือนเมื่อมีการรบกวนแรงดันไฟฟ้าที่เป็นอันตรายหรือสงสัย

การแก้ไขปัญหานี้ผ่านซอฟต์แวร์เป็นเรื่องที่ท้าทายมากขึ้น เนื่องจากลักษณะของข้อผิดพลาดที่ถูกใช้ประโยชน์นั้นยากที่จะเข้าใจและป้องกันในระดับซอฟต์แวร์

วิจัยสังเกตว่าด้วยความประหลาดใจว่ามาตรการป้องกันที่ชัดเจนส่วนใหญ่ได้ถูกพัฒนาขึ้นเมื่อเวลาผ่านไปเพื่อป้องกันชิป X1 ที่เก่ากว่า แต่ไม่มีอยู่ใน X2

รายงานสรุป:

‘ผู้ผลิตและนักออกแบบไม่ควรลืมการโจมตีฮาร์ดแวร์ที่ดูเหมือนง่ายๆ ที่มีมานานกว่าสองทศวรรษแล้ว’