Sony ma problem, zabezpieczenia nowych wersji systemu PlayStation 4 złamane

Publicznie dostępny dla konsoli PlayStation 4 jailbreakdziała jedynie ze starym już firmware 4.05 – a przecież niełatwojest znaleźć konsolę z nieaktualizowanym od 2016 rokuoprogramowaniem systemowym. W zeszłym tygodniu podczas konferencjiREcon Brussels 2018 ze swoją prezentacją wystąpił VolodymyrPikhur, przedstawiając poważny kłopot dla Sony: exploit, którydziała na całkiem świeżym firmware 5.00. Czemu to zrobił?Ponownie można powiedzieć, że japońska firma sama jest sobiewinna – jak tłumaczy odkrywca, Sony nie ma programu nagradzaniaza odkryte bugi.

Pikhur konsolą PS4 zajmuje się przezostatnie pięć lat, ale samą odwrotną inżynierą od ponad 15 lat– to człowiek który nie tylko pracował nad exploitowaniemkerneli i hiperwizorów, pisząc w tym celu swoje własne narzędzia,ale też nie bał się pobrudzić rąk dłubaniem w elektronice,wykorzystując to do bezpośredniej komunikacji ze sprzętem czypozyskania danych poprzez analizę side-channel.

Z przedstawionych w ostatni weekendslajdów konferencyjnych wynika, że atak jest połączeniem starego,a nie załatanego przez Sony błędu w silniku WebKit, eskalacjiuprawnień na poziomie kernela FreeBSD za pomocą techniki ROP, anastępnie uruchomieniu własnego kodu na procesorze ARM Marvella,działającym jako coś rodzaju mostkapołudniowego. To właśnie ten układ odciąża procesor głównyod takich zadań jak obsługa sieci (w tym pobierania danych w tle) iobsługi systemu plików włącznie z buforowaniem.

Procesor ten uruchamia swój własnysystem – minimalistyczną wersję FreeBSD, pozbawioną większościznanych wywołań systemowych. Znalazł się jednak jeden, którydziała – sys_kldload, czyli podstawowy mechanizm ładowaniamodułów kernela. Po długich próbach z właściwym formatemdanych, Pikhur zdołał przygotować działający moduł kernela,pozwalający mu na uruchomienie własnego kodu.

Na tym jednak nie koniec. Wykorzystującsprzętowy atak na pamięć konsoli, z pomocą oscyloskopu, płytkiArduino Uno i tranzystora MOSFET, badacz wydobył bootloader.Nadpisał wpierw pamięć za pomocą exploitu kernela, tworzącładunek, który przetrwa w pamięci konsoli po jej uśpieniu, anastępnie w momencie uruchomienia, gdy bootloader jest ładowany,wywołał sprzętową usterkę, pozwalającą na wykonanie tego kodui zrzucenie już odszyfrowanego przez konsolę bootloadera przezzłącze UART. Spektakularny trick!

Podczas demonstracji ataku na powyższymwideo możemy zobaczyć m.in., jak na konsoli z firmware 5.00uruchomiony zostaje własny serwer FTP, dając dostęp do systemuplików. Co z tym zrobi Sony, nie wiadomo. Tak samo nie bardzowiadomo, co z tym zrobi niezależna scena PS4 – na razie jestcicho, najwyraźniej wszyscy analizują prezentację Pikhura.

A było uruchomić program nagród zabłędy… Tymczasem możecie sami obejrzeć slajdy z prezentacji naREcon Brussels, opublikowane na GitHubie.