06.01.2026 15:14
RP2350 Hacking Challenge: как сломали защиту Raspberry Pi
🍓 RP2350 Hacking Challenge: Как исследователи сломали защиту нового чипа Raspberry Pi
Raspberry Pi выпустила микроконтроллер RP2350 с заявкой на серьезную безопасность: Secure Boot, аппаратные детекторы глитчей (сбоев) и сопроцессор избыточности. Чтобы проверить защиту, компания запустила челлендж с денежным вознаграждением.
В итоге исследователи из University of Birmingham и Hextree нашли 5 различных способов обойти защиту и извлечь секреты.
🛡 Что сломали и как:
1. Атака на State Machine (Voltage Glitch):
Самый элегантный взлом. Исследователи обнаружили, что кратковременный сбой питания (50 мкс) в определенный момент загрузки (через ~250 мкс после старта) заставляет чип прочитать «защитные слова» (guard words - 0x333333) вместо реальных настроек безопасности.
Чип «забывает», что он залочен, включает отладочный интерфейс и переходит в режим RISC-V, давая полный доступ к системе.
2. Лазерная инъекция сбоев (за $800):
Обычно установки для лазерного глитчинга (LFI) стоят более $100 000. Авторы собрали свою установку всего за $800.
Суть: Атака типа TOCTOU (Time-of-Check to Time-of-Use). Лазер сбивает логику загрузчика, заставляя его проверять подпись одной прошивки (легальной), а исполнять код другой (вредоносной), подмененной во внешней Flash-памяти.
3. Принудительная векторная загрузка:
Используя глитч напряжения, хакеры заставили функцию reboot() пропустить проверку прав доступа. Это позволило загрузить неподписанный образ прошивки, просто указав нужный адрес стека и PC (Program Counter).
4. Двойной глитч чтения OTP (EMFI):
Защита OTP-памяти полагается на двойное чтение конфигурации блокировки. Исследователи использовали электромагнитный импульс, чтобы пропустить инструкции дважды. В результате биты блокировки не применялись, и секретные ключи можно было вычитать через стандартный USB-загрузчик.
5. Прямое чтение битов (FIB/PVC):
Хардкорный метод. С чипа сняли слои металла и использовали сфокусированный ионный пучок (FIB) и пассивный вольтовый контраст.
Суть: Заряженные и незаряженные ячейки памяти (antifuse) выглядят по-разному под электронным микроскопом. Секрет прочитали буквально глазами.
📂 Материалы: (PDF, 4,7MB)
https://www.usenix.org/system/files/woot25-muench.pdf
#RaspberryPi #Embedded #Security #HardwareHacking #RP2350
👉 @thehaking
Raspberry Pi выпустила микроконтроллер RP2350 с заявкой на серьезную безопасность: Secure Boot, аппаратные детекторы глитчей (сбоев) и сопроцессор избыточности. Чтобы проверить защиту, компания запустила челлендж с денежным вознаграждением.
В итоге исследователи из University of Birmingham и Hextree нашли 5 различных способов обойти защиту и извлечь секреты.
🛡 Что сломали и как:
1. Атака на State Machine (Voltage Glitch):
Самый элегантный взлом. Исследователи обнаружили, что кратковременный сбой питания (50 мкс) в определенный момент загрузки (через ~250 мкс после старта) заставляет чип прочитать «защитные слова» (guard words - 0x333333) вместо реальных настроек безопасности.
Чип «забывает», что он залочен, включает отладочный интерфейс и переходит в режим RISC-V, давая полный доступ к системе.
2. Лазерная инъекция сбоев (за $800):
Обычно установки для лазерного глитчинга (LFI) стоят более $100 000. Авторы собрали свою установку всего за $800.
Суть: Атака типа TOCTOU (Time-of-Check to Time-of-Use). Лазер сбивает логику загрузчика, заставляя его проверять подпись одной прошивки (легальной), а исполнять код другой (вредоносной), подмененной во внешней Flash-памяти.
3. Принудительная векторная загрузка:
Используя глитч напряжения, хакеры заставили функцию reboot() пропустить проверку прав доступа. Это позволило загрузить неподписанный образ прошивки, просто указав нужный адрес стека и PC (Program Counter).
4. Двойной глитч чтения OTP (EMFI):
Защита OTP-памяти полагается на двойное чтение конфигурации блокировки. Исследователи использовали электромагнитный импульс, чтобы пропустить инструкции дважды. В результате биты блокировки не применялись, и секретные ключи можно было вычитать через стандартный USB-загрузчик.
5. Прямое чтение битов (FIB/PVC):
Хардкорный метод. С чипа сняли слои металла и использовали сфокусированный ионный пучок (FIB) и пассивный вольтовый контраст.
Суть: Заряженные и незаряженные ячейки памяти (antifuse) выглядят по-разному под электронным микроскопом. Секрет прочитали буквально глазами.
📂 Материалы: (PDF, 4,7MB)
https://www.usenix.org/system/files/woot25-muench.pdf
#RaspberryPi #Embedded #Security #HardwareHacking #RP2350
👉 @thehaking