22 歲安全研究員 Elise Amber Katze 於第 39 屆混沌通訊大會(39C3)宣布,已完全攻破 Nvidia Tegra X2 晶片安全啟動機制。全球數百萬部搭載該晶片裝置,包括 MR 眼鏡以至 Tesla 電動車 Autopilot 2 與 2.5 系統,只要能接觸其 USB 介面即可被入侵。
Magic Leap One 關閉服務成研究契機
Elise Amber Katze 表示,她投入大量精力破解 Nvidia Tegra X2 晶片,源於 2024 年 Magic Leap 關閉 Magic Leap One 啟動伺服器。Magic Leap 在 2024 年 12 月 31 日終止 Magic Leap One 雲端服務,令這款售價 2,300 美元(約港幣 HK$17,940)MR 眼鏡變成無法使用「電子垃圾」。Elise Amber Katze 決定恢復這些裝置正常功能,於是開始研究 Magic Leap One 採用 Nvidia Tegra X2 晶片。
發現兩大關鍵漏洞
Tegra X2 晶片啟動時使用 Fastboot 協定,其開源程式碼實作由 Nvidia 提供。Elise Amber Katze 深入研究程式碼後,發現兩個關鍵漏洞:「sparsehax」及「dtbhax」。「Sparsehax」涉及系統解壓縮 SparseFS 鏡像時邏輯缺陷,而「dtbhax」則容許透過載入特定核心裝置樹塊(DTB)實現持久化存取。利用這兩個漏洞,Elise Amber Katze 成功在 Magic Leap One 執行未簽名程式碼,突破系統第一道防線。
故障注入導出 BootROM 韌體
Elise Amber Katze 透過故障注入方式,迫使 Tegra X2 啟動過程出現錯誤,並透過側信道導出被嚴密保護 BootROM 韌體。她在 BootROM 程式碼發現 USB 恢復模式存在嚴重漏洞。由於 BootROM 是晶片上的唯讀程式碼,Nvidia 無法透過軟件修復缺陷。
所有 Tegra X2 裝置面臨風險
Elise Amber Katze 指出,透過 USB 恢復模式漏洞,所有使用 Nvidia Tegra X2 晶片裝置,只要能接觸 USB 介面,均可被繞過安全啟動鏈並完全接管,包括 Tesla 電動車 Autopilot 2 與 2.5 自動駕駛系統。雖然攻擊條件較苛刻且需物理接觸,但 Elise Amber Katze 仍構建出複雜利用鏈,最終實現最高權限程式碼執行。
舊晶片已停產實際影響有限
Tegra X2 晶片於 2016 年發布,目前已停產。Nvidia 在 2016 年發布 T186/X2 之後晶片已修復相關漏洞,因此對普通用戶實際影響有限。Elise Amber Katze 曾在 2023 年於 GPN21 大會發表破解 Nintendo Switch 使用 Tegra X1 晶片演講,展示她在嵌入式裝置安全研究方面專業能力。
資料來源:Chaos Computer Club
分享到 :
最新影片
