Anderson 视角

NVIDIA 确认特斯拉 Autopilot 系统存在电压故障注入漏洞

mm
发布于
更新于

德国的一篇新研究论文披露,NVIDIA 已确认了一种硬件漏洞,允许攻击者获得特斯拉 Autopilot 系统的代码执行特权。这种攻击涉及一种“经典”的方法,即通过引入电压突发来破坏硬件,这样可以解锁通常为消费者禁用的引导程序,并且该引导程序仅适用于实验室条件。

这种攻击也适用于梅赛德斯-奔驰的信息娱乐系统,尽管其潜在的破坏性后果较少。

该论文,题为 被遗忘的电压故障注入威胁:NVIDIA Tegra X2 SoC 的案例研究,来自 Technische Universitat Berlin,跟进了一些相同研究人员最近的工作,披露了 AMD Secure Encrypted Virtualization 中的类似漏洞,发布 于 8 月 12 日。

论文指出:

我们负责地向 NVIDIA 披露了我们的发现,包括我们的实验设置和参数。NVIDIA 重现了我们的实验,并确认了故障注入会影响测试的 Tegra Parker SoC 和更早的芯片。根据他们的说法,所有更新的 Tegra SoC 都将包含缓解这些类型攻击的对策。另外,他们提出了减少易受电压故障注入攻击的芯片有效性的对策…

论文指出,这种攻击可以允许对手修改系统的固件,以篡改关键控制系统,包括自主车辆对人类障碍的反应方式。

他们指出,甚至篡改驾驶舱显示系统也存在真正的危险,允许显示虚假的当前驾驶速度和其他对车辆安全运行至关重要的信息。

电压故障注入

电压故障注入(FI),也称为电压故障,也就是说,在一瞬间内超过或低于系统的电压供应。这是一种非常老的攻击方法;研究人员指出,智能卡已经对这种方法进行了加固,已经有二十年了,并且表明芯片制造商已经忘记了这种特定的攻击向量。

然而,他们承认,保护系统芯片(SoC)已经变得更加复杂,因为复杂的电源树和更高的功耗率会加剧电压供应的干扰所造成的潜在破坏。

这种类型的攻击已经被证明是可能的,针对的是较旧的 NVIDIA Tegra X1 SoC。然而,更新的 Tegra X2 SoC(“Parker”)存在于更多的关键系统中,包括特斯拉的 Autopilot 半自主驾驶系统,以及梅赛德斯-奔驰和现代汽车使用的系统。

论文演示了一种针对 Tegra X2 SoC 的电压故障注入攻击,允许研究人员从系统的内部只读存储器(iROM)中提取内容。除了损害制造商的知识产权外,这还允许完全禁用可信代码执行。

可能的永久损害

此外,入侵并非脆弱或在重启时必然被破坏;研究人员开发了一个“硬件植入物”,能够永久禁用 根信任(RoT)。

德国研究人员开发的‘crowbar 电路’图解 - 一种永久的硬件改造,可以操纵 Tegra X2 的根信任。来源:https://arxiv.org/pdf/2108.06131.pdf

德国研究人员开发的‘crowbar 电路’图解 – 一种永久的硬件改造,可以操纵 Tegra X2 的根信任。 来源:https://arxiv.org/pdf/2108.06131.pdf

为了绘制出漏洞,研究人员试图解锁关于 X2 的隐藏文档 – 隐藏的头文件作为 L4T 包的一部分。这些映射在 在线文档中被描述,尽管不是明确的,用于 Jetson TX2 启动流程。

TX2 的启动软件流程控制。来源:https://docs.nvidia.com/

TX2 的启动软件流程控制。 来源:https://docs.nvidia.com/

然而,尽管他们能够从泄露的头文件中获得必要的信息,研究人员指出,他们也从 GitHub 中收到了显著的帮助:

在我们意识到头文件是由 NVIDIA 提供之前,我们在 GitHub 上搜索了它。除了找到包含 NVIDIA 代码的存储库外,我们的搜索还发现了一个名为“switch-bootroms”的存储库。这个存储库包含了 Tegra SoC 的泄露 BR 源代码,型号为 T210 和 T214,其中 T210 是 Tegra X1(代号“Erista”)的原始型号,T214 是更新的版本,也称为 Tegra X1+(代号“Mariko”)。X1+ 包括更快的时钟速度,并且根据存储库中的评论和代码,已经对 FI 进行了加固。在我们的调查过程中,访问此代码大大增加了我们对 X2 的理解。

(脚注已转换为超链接)

所有的保险丝和加密代码都通过新的方法被揭露出来,引导程序系统的后期阶段也成功被解密。这种漏洞最值得注意的成就可能是能够通过专用硬件使其在重启之间保持持久性,这是一种最初由 Team Xecutor 为 X1 芯片系列开发的技术。

缓解措施

论文建议了一些加固方法,可以使未来的 X 系列 SoC 对电压故障注入攻击具有抵抗力。在与 NVIDIA 讨论此事时,该公司建议,对于现有的 SoC,板级更改将有所帮助,包括使用能够抵抗热和溶剂分解的环氧树脂。如果电路不能轻松拆开,那么就很难损害它。

论文还建议,SoC 的专用印刷电路板(PCB)是排除耦合电容器的需要的方法,这些电容器是所描述的攻击的一部分。

对于 SoC 的未来设计,使用最近由 NVIDIA 专利的跨域电压故障检测电路,可以在恶意或可疑的电压干扰情况下触发警报。

通过软件解决这个问题更具挑战性,因为被利用的故障的特征难以理解和在软件级别上进行对抗。

论文观察到,似乎大多数明显的安全措施已经随着时间的推移而发展,以保护较旧的 X1 芯片,但在 X2 中却不存在。

报告得出结论:

制造商和设计师不应该忘记已经存在二十多年的看似简单的硬件攻击。

mm

机器学习作家,人类图像合成领域专家。曾任 Metaphysic.ai 研究内容负责人。
个人网站: martinanderson.ai
联系: [email protected]
Twitter:@manders_ai