Konsola Nintendo Switch doszczętnie złamana, do ataku wystarczy drucik

Nintendo Switch jest pierwszą konsolą najnowszej generacji,której zabezpieczenia zostały całkowicie rozbrojone. To dlajapońskiego producenta kompromitacja – Switch pojawił się wsprzedaży nieco ponad rok temu. Sprzedane do tej pory 15 milionówsztuk jest po prostu nie do załatania, żadna aktualizacja firmwarenie pomoże, a do ataku oprócz ogólniedostępnego jużoprogramowania wystarczy kawałek drucika.

Grupa hakerska ReSwitched opublikowała na GitHubie kompletnądokumentację FuséeGelée – podatności w procesie rozruchu systemu, którypozwala na uruchomienie dowolnego, niepodpisanego kodu w trybieratunkowym procesorów Nvidia Tegra. Jako że kod ten jesturuchamiany przed aktywacją jakichkolwiek zabezpieczeń, podatnośćta narusza cały łańcuch zaufania procesora, pozwalając takżewydobyć z niego wszystkie tajne dane, w tym klucze kryptograficzne.

W wypadku konsoli Nintendo Switch oznacza to pełen dostęp dochronionego bootROM-u: wysyłając w odpowiednim momencie doprocedury kontrolującej USB ciąg o niewłaściwej długości,użytkownik może zmusić system do zażądania do 64 KB danych,nadpisując bufor DMA w bootROM-ie.

Największym wyzwaniem jest zmuszenie Switcha do uruchomienia wtrybie ratunkowym. Największym? Powiedzmy że raczej takim malutkim.Wystarczy spiąć odpowiedni pin na prawym złączu Joy-Con. Jeśliktoś się boi robić to drucikiem, może skorzystać zespecjalizowanego „urządzenia”, zaprojektowanego przez TeamFail0verflow – plastikowej zaślepki ze zworką, wydrukowanejnajwyraźniej na drukarce 3D.

Oczywiście luki w firmware Switcha były exploitowane jużwcześniej. Za każdym razem jednak Nintendo wysyłało aktualizację,podnosząc numer wersji systemu i wymuszając aktualizację poprzezpodniesienie minimalnej wersji dla nowych gier oraz dostępu doserwerów usług stworzonych dla tej konsoli. Tym razem jednakJapończycy nic zrobić nie mogą.

Jak wyjaśniają hakerzy z ReSwitched, błąd w bootROM-ie niemoże być naprawiony po opuszczeniu przez czip Tegra fabryki. Dostępdo zabezpieczeń umożliwiających zmianę tego obszaru pamięciurządzenia zostaje zablokowany po spaleniu bezpiecznikaODM_PRODUCTION. W najlepszym dla siebie razie Nintendo może próbowaćwykrywania złamanych konsol i ich banowania online, ale jeślipojawi się teraz dla Switcha pełne Custom Firmware, to i powstanąnarzędzia ukrywające wprowadzone zmiany. Tak było np. zPlayStation 3, gdzie granie online na aktualnym Custom Firmware zaktywowanymi zabezpieczeniami nie stanowiło żadnego problemu.

Póki co oprócz exploita zwykli użytkownicy mogą skorzystać zprostego przykładowego programiku w Pythonie, pozwalającegowyświetlić informacje zawarte w bootROM-ie. W kolejnych tygodniachi miesiącach mają pojawić się jednak dodatkowe narzędzia,włącznie z Atmosphere – łatwym do zainstalowania CustomFirmware na Switcha.

Ze swojej strony hakerzy z ReSwitched nie mają sobie nic dozarzucenia. Wyjaśniają, że o podatności powiadomili zwyprzedzeniem Nintendo i Nvidię, a że nic się nie da z tym zrobić…no cóż. Udostępnienie exploitu ma ocalić nas przed innymigrupami, które mogłyby niezależnie odkryć lukę i wykorzystać jąw złośliwych celach.

Tyle oficjalne tłumaczenie. Nieoficjalnie można jednak sądzić,że chodzi o rywalizację z grupą Team Xecuter, która jakiś czastemu zapowiadała wprowadzenie na rynek modczipa do Nintendo Switcha,pozwalającego na instalację i uruchamianie spiraconych gier (tak,otwarcie mówiono o warezach, a nie jakimś oprogramowaniu homebrew,jak to zwykle bywa). Software’owy hack konsoli, potrzebującydodatkowo tylko drucika, na pewno mocno ograniczy sprzedażpirackiego modczipa.

Ze swojej strony Team Fail0verflow reagując na pracę kolegów zReSwitched udostępnił wcześniej niż planowano swój exploitShofEL2, wraz zlinuksowym loaderem dla Nintendo Switcha. Póki co zainstalowanieLinuksa na konsolce niejest łatwe, ale jak ktoś uważnie przeczyta instrukcję,powinien sobie poradzić. Ciekawostka – w bootloaderze wykorzystanołańcuch rozruchowy wzięty z tabletu Google Pixel C,wykorzystującego właśnie Tegrę.