NVIDIA Xác Nhận Sự Khả Năng Tấn Công Lỗi Điện Áp Trên Hệ Thống Tự Lái Của Tesla

Một bài nghiên cứu mới từ Đức tiết lộ rằng NVIDIA đã xác nhận một lỗ hổng bảo mật phần cứng cho phép kẻ tấn công giành quyền kiểm soát đặc biệt đối với mã thực thi của hệ thống tự lái Tesla. Cuộc tấn công này liên quan đến một phương pháp “cổ điển” làm mất ổn định phần cứng bằng cách giới thiệu các xung điện áp, trong trường hợp này cho phép mở khóa bộ nạp khởi động thường bị tắt đối với người tiêu dùng và chỉ dành cho điều kiện phòng thí nghiệm.

Cuộc tấn công này cũng có hiệu lực đối với hệ thống giải trí của Mercedes-Benz, mặc dù với hậu quả có thể gây hại ít hơn.

Bài báo này, có tiêu đề Mối Đe Dọa Bị Quên Của Sự Cố Điện Áp: Một Nghiên Cứu Trường Hợp Về Nvidia Tegra X2 SoCs, đến từ Technische Universitat Berlin, tiếp tục một số công việc gần đây của các nhà nghiên cứu cùng một nhóm, tiết lộ một lỗ hổng tương tự trong AMD Secure Encrypted Virtualization, được xuất bản vào ngày 12 tháng 8.

Bài báo này tuyên bố:

Chúng tôi đã tiết lộ có trách nhiệm các phát hiện của mình cho Nvidia, bao gồm cả thiết lập thí nghiệm và tham số của chúng tôi. Nvidia đã tái tạo các thí nghiệm của chúng tôi và xác nhận rằng việc tiêm lỗi ảnh hưởng đến các chip Tegra Parker SoC và các chip cũ hơn. Theo họ, tất cả các SoC Tegra mới hơn sẽ chứa các biện pháp đối phó để giảm thiểu các loại tấn công này. Hơn nữa, họ đã đề xuất các biện pháp đối phó để giảm hiệu quả của việc tiêm lỗi điện áp trên các chip dễ bị tấn công…

Bài báo này cho biết loại tấn công được trình diễn trong nghiên cứu của họ có thể cho phép một kẻ thù thay đổi firmware của hệ thống để can thiệp vào các hệ thống điều khiển quan trọng, bao gồm cách một phương tiện tự lái phản ứng với chướng ngại vật của con người.

Họ lưu ý rằng thậm chí việc can thiệp vào hệ thống hiển thị buồng lái cũng mang lại mối nguy hiểm thực sự, cho phép hiển thị thông tin sai lệch về tốc độ lái hiện tại và các thông tin khác cần thiết cho việc vận hành an toàn của phương tiện.

Đầu Ra Lỗi Điện Áp

Đầu ra lỗi điện áp (FI), còn được gọi là Glitching điện áp, chỉ đơn giản là quá điện áp hoặc dưới điện áp của nguồn cung cấp hệ thống trong một thời gian ngắn. Đây là một hình thức tấn công rất cũ; các nhà nghiên cứu lưu ý rằng thẻ thông minh đã được tăng cường bảo vệ chống lại cách tiếp cận này hai thập kỷ trước và gợi ý rằng các nhà sản xuất chip đã hiệu quả quên mất về vector tấn công này.

Tuy nhiên, họ cũng thừa nhận rằng việc bảo vệ một Hệ thống trên Chip (SoC) đã trở nên phức tạp hơn trong những năm gần đây do các cây điện phức tạp và tốc độ tiêu thụ điện năng cao hơn có thể làm tăng sự gián đoạn tiềm năng do nguồn điện bị xáo trộn.

Các cuộc tấn công của loại này đã được chứng minh có thể thực hiện được đối với SoC NVIDIA Tegra X1 cũ hơn trong quá khứ. Tuy nhiên, SoC Tegra X2 mới (‘Parker’) hiện diện trong nhiều hệ thống quan trọng hơn, bao gồm hệ thống tự lái bán tự động của Tesla, cũng như trong các hệ thống được sử dụng bởi Mercedes-Benz và Hyundai vehicles.

Bài báo mới này chứng minh một cuộc tấn công Glitching điện áp trên SoC Tegra X2 cho phép các nhà nghiên cứu trích xuất nội dung từ Bộ nhớ Chỉ Đọc Nội bộ (iROM) của hệ thống. Ngoài việc làm suy yếu IP của các nhà sản xuất, điều này cho phép việc vô hiệu hóa hoàn toàn Mã Thực Thi Tin Cậy.

Vi Phạm vĩnh Viễn Có Thể Xảy Ra

Hơn nữa, sự xâm nhập này không phải là mong manh hoặc nhất thiết bị xóa bỏ khi khởi động lại: các nhà nghiên cứu đã phát triển một ‘thiết bị cấy ghép phần cứng’ có khả năng vô hiệu hóa vĩnh viễn Root of Trust (RoT).

Sơ đồ của một ‘mạch crowbar’ được các nhà nghiên cứu Đức phát triển – một sửa đổi phần cứng vĩnh viễn có khả năng thao túng Root of Trust trong Tegra X2. Nguồn: https://arxiv.org/pdf/2108.06131.pdf

Để lập bản đồ khai thác, các nhà nghiên cứu đã tìm cách mở khóa tài liệu ẩn về X2 – các tệp tiêu đề ẩn được bao gồm như một phần của gói L4T. Các bản đồ được mô tả, mặc dù không rõ ràng, trong tài liệu trực tuyến cho Jetson TX2 Boot Flow.

Kiểm soát luồng của phần mềm khởi động TX2. Nguồn: https://docs.nvidia.com/

Tuy nhiên, mặc dù họ đã có thể thu được thông tin cần thiết từ các tệp tiêu đề bị rò rỉ, các nhà nghiên cứu lưu ý rằng họ cũng nhận được sự hỗ trợ đáng kể bằng cách tìm kiếm GitHub cho mã liên quan đến NVIDIA:

Trước khi nhận ra rằng tệp tiêu đề được cung cấp bởi Nvidia, chúng tôi đã tìm kiếm nó trên GitHub. Ngoài việc tìm thấy một kho chứa bao gồm mã Nvidia, tìm kiếm cũng tiết lộ một kho chứa có tên là ”switch-bootroms”. Kho chứa này bao gồm mã nguồn BR bị rò rỉ cho các SoC Tegra với số mô hình T210 và T214, trong khi T210 là mô hình gốc của Tegra X1 (được đặt tên mã là ”Erista”), và T214 là một phiên bản cập nhật, cũng được gọi là Tegra X1+ (được đặt tên mã là ”Mariko”). X1+ bao gồm tốc độ xung nhịp nhanh hơn và, dựa trên các bình luận và mã trong kho chứa, được tăng cường bảo vệ chống lại FI. Trong quá trình điều tra của chúng tôi, việc truy cập vào mã này đã tăng đáng kể sự hiểu biết của chúng tôi về X2.’

(Chú thích được chuyển đổi thành siêu liên kết bởi tôi)

Tất cả các bộ phận và mã mã hóa đều được tiết lộ bằng phương pháp mới, và các giai đoạn sau của hệ thống khởi động đã được giải mã thành công. Thành tựu đáng chú ý nhất của lỗ hổng này có lẽ là khả năng làm cho nó tồn tại trên các lần khởi động lại thông qua phần cứng chuyên dụng, một kỹ thuật đầu tiên được phát triển bởi Team Xecutor cho cấy ghép Nintendo Switch trên loạt chip X1.

Biện Pháp Khắc Phục

Bài báo này đề xuất một số phương pháp tăng cường có thể làm cho các phiên bản tương lai của SoC X-series chống lại các cuộc tấn công Glitching điện áp. Trong khi thảo luận về vấn đề này với NVIDIA, công ty đã đề xuất rằng trong trường hợp của các SoC hiện có, các thay đổi cấp bảng sẽ hữu ích, bao gồm việc sử dụng các loại epoxy chống phân hủy bởi nhiệt và dung môi. Nếu mạch không thể dễ dàng tháo rời, nó sẽ khó bị xâm phạm hơn.

Bài báo cũng đề xuất rằng một bảng mạch in (PCB) chuyên dụng cho SoC là một cách để loại bỏ nhu cầu về tụ điện kết nối, điều này là một phần của cuộc tấn công được mô tả.

Đối với các thiết kế SoC trong tương lai, việc sử dụng một mạch phát hiện lỗi điện áp xuyên miền có thể được cấp bằng sáng chế gần đây bởi NVIDIA có thể cho phép kích hoạt cảnh báo trong trường hợp có sự gián đoạn điện áp độc hại hoặc nghi ngờ.

Việc giải quyết vấn đề này thông qua phần mềm là một thách thức hơn, vì các đặc điểm của các lỗi được khai thác khó hiểu và đối phó ở cấp độ phần mềm.

Bài báo quan sát, rõ ràng với một số ngạc nhiên, rằng hầu hết các biện pháp phòng ngừa rõ ràng đã được phát triển theo thời gian để bảo vệ chip X1 cũ hơn, nhưng lại vắng mặt trong X2.

Báo cáo kết luận:

‘Các nhà sản xuất và nhà thiết kế không nên quên về các cuộc tấn công phần cứng đơn giản dường như đã tồn tại trong hơn hai thập kỷ.’