Ein Team von Hackern hat wohl irreparablen Zugriff auf den Security-Chip der Nintendo Switch. Auch die Root-Keys können ausgeleitet werden.
Mehrere Hacker und Entwickler haben wohl endgültig die Hardware-Security der Nintendo Switch geknackt und damit auch die Sicherheit des Tegra X1 genannten SoC von Nvidia, das als Grundlage der Konsole dient. Bereits im Jahr 2018 gelang es über einen recht trivialen Bug, den Schutz des genutzten Boot-ROM zu umgehen. Doch auch der clevere Patch für dieses Problem von Nvidia und Nintendo scheint nun komplett überwunden.
Das Problem bei dem ersten Hack vor drei Jahren war, dass der Boot-ROM-Chip nicht einfach gepatcht werden kann. Die entsprechenden angreifbaren Befehle sind hardcodiert, ein Patch gegen die Angriffe erschien daher damals in bereits verkauften Geräten eher unwahrscheinlich. Und bereits zuvor gelang es, eigenen Code auf der Switch auszuführen und sogar die Schlüssel der Konsole auszulesen.
Wie Switch-Hacker Plutooo nun schreibt, habe jedoch ein "cleverer Typ" die Hersteller auf einen gesonderten Security-Chip hingewiesen, der auf dem X1 vorhanden ist und bis dahin nicht genutzt wurde. Mit dem Update 6.2.0 für die Switch-Firmware hat Nintendo diesen dann tatsächlich genutzt und den Startvorgang mit Hilfe dieses TSEC genannten Chips komplett neu aufgezogen.
"Nintendo hat anscheinend das Unmögliche geschafft: A) seinen Secure-Boot zurückbekommen und B) neues Schlüsselmaterial eingeführt". Der alte Hack war mit der neuen Firmware also wertlos. Wenig überraschend haben sich die Switch-Hacker dann dem TSEC-Chip zugewandt und weiter zahlreiche Fehler gefunden, die sich nun eben wohl für alle bisher verkauften Geräte mit dem Chip nicht mehr ändern lassen. Und ohne große Hardware-Revision wohl auch nicht für Neugeräte.
Wieder Zugriff auf Schlüssel per Glitching
Wie Plutooo selbst weiter schreibt, nutzt dieser aber in seinem aktuellen Angriff diese Sicherheitslücken gar nicht aus. Vielmehr ist der Hacker erneut in der Lage dazu, den Informationsfluss auf dem Chip zu beeinflussen. Bereits im Jahr 2017 nutzten die Beteiligten das sogenannte Glitching, um die Schlüssel auszulesen.
In einem nun auf Github veröffentlichten Dokument schreibt Plutooo, dass nun auch für die Switch ein ähnlicher Angriff möglich ist, wie dieser bereits für die Playstation Vita demonstriert wurde. Dabei handelt es sich um den sogenannten Differential-Fault-Angriff auf die AES-Schlüssel selbst. Plutooo schreibt dazu: "Wenn du in den letzten beiden Runden (von AES, Anm. d. Red.) 1-2 Bitflips bekommst, kannst du nach dem Schlüssel auflösen".
Weiter heißt es: "Ich habe gerade ein paar Tausend Samples von fehlerhaften AES-Samples gesammelt, (...) und alle Schlüssel sind herausgefallen". Zum Beweis hat Plutooo die SHA256-Hashwerte aller 64 Schlüsselregister des TSEC-Chips veröffentlicht, der den Boot-Prozess absichert. Darin sollen sich insbesondere auch folgende Schlüssel befinden: der Signatur- sowie der Verschlüsselungsschlüssel für TSEC-Code selbst sowie auch Nintendos OEM-Schlüssel.
Doch der Zugriff auf die wichtigen Schlüssel gelingt wohl auch rein über einen Software-Angriff, der das mit relativ viel Aufwand verbundene Glitching nicht nötig macht.
Nvidias TSEC-Chip komplett gehackt
So haben sich mehr oder weniger unabhängig von diesen Glitch-Versuchen die Hacker Hexkyz und SciresM mit viel Unterstützung von weiteren Entwicklern wie etwa dem Nouveau-Team, das freie Linux-Grafiktreiber für Nvidia-GPUs schreibt, des TSEC-Chips angenommen. Der TSEC-Chip wiederum besteht aus einem Falcon-Chip, den Nvidia zahlreich in seinen GPUs verwendet, sowie einem weiteren SCP genannten Sicherheitschip, der kryptographische Operationen übernimmt.
In dem sehr ausführlichen Blogpost werden die Chips, ihre Funktionen und deren Zusammenwirken detailliert beschrieben. Darüber hinaus wendet sich das Team aber eben auch zahlreichen Sicherheitslücken in der Firmware dieses Systems zu, das seit Firmware-Version 6.2.0 integraler Bestandteil des Switch-Boots ist.
Über eine Verkettung mehrerer Lücken und dank extrem viel Reverse Engineering der Funktionsweise des Kryptosystems gelang es dem Team letztlich, auch ohne Glitching den Signaturschlüssel für Nvidias TSEC zu erhalten. Wie es in dem Blogpost heißt, ist dem Team gelungen, mit Hilfe direkter Speicherzugriffe einen Teil des Stacks zu überschreiben, in dem sich auch die Return-Adresse für das Page-Probing befindet. Ein ROP-Angriff führe schließlich zu dem Teil des Chip-ROMs, das die Signaturen vergleicht. Eine Vergleichsoperation, bei der zwei Register und die Signatur alle aus Nullen bestehen, führt schließlich zum Zugriff auf den Heavy-Secure-Modus.
Der Angriff konnte weiter verbessert werden, um in dem sogenannten Heavy-Secure-Modus des TSEC-Chips beliebigen eigenen Code mit der Signatur auszuführen. Damit sei das Sicherheitsmodell des TSEC komplett gebrochen, schreiben die Hacker.
Hack betrifft auch andere Komponenten
Selbst mit den vielen verschiedenen Firmware-Verbesserungen, die die bekannten Sicherheitslücken geschlossen haben, sei es dem Team immer wieder gelungen, die dann neu erzeugten Schlüssel auszulesen. Dazu heißt es weiter: "Da dies ein (unvermeidbares!) Hardwareproblem bei allen Falcons mit SCP ist, nicht nur bei TSEC - konnten wir auch den gleichen Angriff auf die Falcon-Einheit anwenden, die für die GPU-Energieverwaltung verwendet wird, und auch ihren (anderen) Signaturschlüssel wiederherstellen."
Zu zweit habe das Team wohl insgesamt rund 400 Stunden Arbeit in den gesamten Angriff gesteckt. Dazu heißt es mit einem kleinen Seitenhieb auf Nvidia: "Diese Arbeit war der Höhepunkt unserer beiden Jahre - unser herzlicher Dank geht an Nvidia für die Entwicklung eines so interessanten Problems <3." Das Team dankt außerdem den anderen Beteiligten, die Werkzeuge bereitstellen oder Vor- und Mitarbeiten geleistet haben.
Quelle; golem
Mehrere Hacker und Entwickler haben wohl endgültig die Hardware-Security der Nintendo Switch geknackt und damit auch die Sicherheit des Tegra X1 genannten SoC von Nvidia, das als Grundlage der Konsole dient. Bereits im Jahr 2018 gelang es über einen recht trivialen Bug, den Schutz des genutzten Boot-ROM zu umgehen. Doch auch der clevere Patch für dieses Problem von Nvidia und Nintendo scheint nun komplett überwunden.
Das Problem bei dem ersten Hack vor drei Jahren war, dass der Boot-ROM-Chip nicht einfach gepatcht werden kann. Die entsprechenden angreifbaren Befehle sind hardcodiert, ein Patch gegen die Angriffe erschien daher damals in bereits verkauften Geräten eher unwahrscheinlich. Und bereits zuvor gelang es, eigenen Code auf der Switch auszuführen und sogar die Schlüssel der Konsole auszulesen.
Wie Switch-Hacker Plutooo nun schreibt, habe jedoch ein "cleverer Typ" die Hersteller auf einen gesonderten Security-Chip hingewiesen, der auf dem X1 vorhanden ist und bis dahin nicht genutzt wurde. Mit dem Update 6.2.0 für die Switch-Firmware hat Nintendo diesen dann tatsächlich genutzt und den Startvorgang mit Hilfe dieses TSEC genannten Chips komplett neu aufgezogen.
"Nintendo hat anscheinend das Unmögliche geschafft: A) seinen Secure-Boot zurückbekommen und B) neues Schlüsselmaterial eingeführt". Der alte Hack war mit der neuen Firmware also wertlos. Wenig überraschend haben sich die Switch-Hacker dann dem TSEC-Chip zugewandt und weiter zahlreiche Fehler gefunden, die sich nun eben wohl für alle bisher verkauften Geräte mit dem Chip nicht mehr ändern lassen. Und ohne große Hardware-Revision wohl auch nicht für Neugeräte.
Wieder Zugriff auf Schlüssel per Glitching
Wie Plutooo selbst weiter schreibt, nutzt dieser aber in seinem aktuellen Angriff diese Sicherheitslücken gar nicht aus. Vielmehr ist der Hacker erneut in der Lage dazu, den Informationsfluss auf dem Chip zu beeinflussen. Bereits im Jahr 2017 nutzten die Beteiligten das sogenannte Glitching, um die Schlüssel auszulesen.
In einem nun auf Github veröffentlichten Dokument schreibt Plutooo, dass nun auch für die Switch ein ähnlicher Angriff möglich ist, wie dieser bereits für die Playstation Vita demonstriert wurde. Dabei handelt es sich um den sogenannten Differential-Fault-Angriff auf die AES-Schlüssel selbst. Plutooo schreibt dazu: "Wenn du in den letzten beiden Runden (von AES, Anm. d. Red.) 1-2 Bitflips bekommst, kannst du nach dem Schlüssel auflösen".
Weiter heißt es: "Ich habe gerade ein paar Tausend Samples von fehlerhaften AES-Samples gesammelt, (...) und alle Schlüssel sind herausgefallen". Zum Beweis hat Plutooo die SHA256-Hashwerte aller 64 Schlüsselregister des TSEC-Chips veröffentlicht, der den Boot-Prozess absichert. Darin sollen sich insbesondere auch folgende Schlüssel befinden: der Signatur- sowie der Verschlüsselungsschlüssel für TSEC-Code selbst sowie auch Nintendos OEM-Schlüssel.
Doch der Zugriff auf die wichtigen Schlüssel gelingt wohl auch rein über einen Software-Angriff, der das mit relativ viel Aufwand verbundene Glitching nicht nötig macht.
Nvidias TSEC-Chip komplett gehackt
So haben sich mehr oder weniger unabhängig von diesen Glitch-Versuchen die Hacker Hexkyz und SciresM mit viel Unterstützung von weiteren Entwicklern wie etwa dem Nouveau-Team, das freie Linux-Grafiktreiber für Nvidia-GPUs schreibt, des TSEC-Chips angenommen. Der TSEC-Chip wiederum besteht aus einem Falcon-Chip, den Nvidia zahlreich in seinen GPUs verwendet, sowie einem weiteren SCP genannten Sicherheitschip, der kryptographische Operationen übernimmt.
In dem sehr ausführlichen Blogpost werden die Chips, ihre Funktionen und deren Zusammenwirken detailliert beschrieben. Darüber hinaus wendet sich das Team aber eben auch zahlreichen Sicherheitslücken in der Firmware dieses Systems zu, das seit Firmware-Version 6.2.0 integraler Bestandteil des Switch-Boots ist.
Über eine Verkettung mehrerer Lücken und dank extrem viel Reverse Engineering der Funktionsweise des Kryptosystems gelang es dem Team letztlich, auch ohne Glitching den Signaturschlüssel für Nvidias TSEC zu erhalten. Wie es in dem Blogpost heißt, ist dem Team gelungen, mit Hilfe direkter Speicherzugriffe einen Teil des Stacks zu überschreiben, in dem sich auch die Return-Adresse für das Page-Probing befindet. Ein ROP-Angriff führe schließlich zu dem Teil des Chip-ROMs, das die Signaturen vergleicht. Eine Vergleichsoperation, bei der zwei Register und die Signatur alle aus Nullen bestehen, führt schließlich zum Zugriff auf den Heavy-Secure-Modus.
Der Angriff konnte weiter verbessert werden, um in dem sogenannten Heavy-Secure-Modus des TSEC-Chips beliebigen eigenen Code mit der Signatur auszuführen. Damit sei das Sicherheitsmodell des TSEC komplett gebrochen, schreiben die Hacker.
Hack betrifft auch andere Komponenten
Selbst mit den vielen verschiedenen Firmware-Verbesserungen, die die bekannten Sicherheitslücken geschlossen haben, sei es dem Team immer wieder gelungen, die dann neu erzeugten Schlüssel auszulesen. Dazu heißt es weiter: "Da dies ein (unvermeidbares!) Hardwareproblem bei allen Falcons mit SCP ist, nicht nur bei TSEC - konnten wir auch den gleichen Angriff auf die Falcon-Einheit anwenden, die für die GPU-Energieverwaltung verwendet wird, und auch ihren (anderen) Signaturschlüssel wiederherstellen."
Zu zweit habe das Team wohl insgesamt rund 400 Stunden Arbeit in den gesamten Angriff gesteckt. Dazu heißt es mit einem kleinen Seitenhieb auf Nvidia: "Diese Arbeit war der Höhepunkt unserer beiden Jahre - unser herzlicher Dank geht an Nvidia für die Entwicklung eines so interessanten Problems <3." Das Team dankt außerdem den anderen Beteiligten, die Werkzeuge bereitstellen oder Vor- und Mitarbeiten geleistet haben.
Quelle; golem
