树莓派和Hextree RP2350破解挑战赛的官方获奖名单已经出炉。树莓派首席Eben Upton在博客中公布了四位成功获奖者。树莓派对参赛作品的质量十分满意,因此四位获奖者都将获得全额奖金,而不是奖金份额。
其中一位获奖者是工程师艾丹·卡伦,我们之前详细报道过他挖掘RP2350 OTP秘密的方法。此外,树莓派雇佣的黑客团队Hextree也在比赛之外成功绕过了OTP安全措施。
在公布获奖者之前,Upton回顾了举办这次比赛的初衷。RP2350于去年8月推出,作为RP2040微控制器的继任者。它在技术上有很多优势,包括基于Arm TrustZone for Cortex - M的安全性设计。
“我们的目标是尽早发现产品中的弱点,以便在RP2350广泛应用于安全领域之前进行修复。”Upton说。因此,RP2350追求的是“透明度带来的安全性”,而非一些供应商所倡导的“隐蔽性带来的安全性”。
树莓派和Hextree在8月的DEF CON大会上宣布了RP2350破解挑战赛,最初奖金为10000美元。后来奖金翻倍,树莓派还雇佣Hextree作为场外竞争者,以确保到2025年1月时能有一些有价值的破解成果。比赛于2024年12月31日结束。
参赛者的主要任务是从RP2350的一次性可编程(OTP)内存中获取一个秘密值。值得注意的是,所有四个有效提交的方案都需要对芯片进行物理接触。
第一位获奖者是艾丹·卡伦。我们之前在第38届混沌通信大会上报道过他的RP2350破解过程。卡伦通过切断PCB走线来物理隔离RP2350芯片的第53号引脚,然后利用电压注入故障攻击,激活了原本“永久禁用”的RISC - V内核及其调试访问端口,从而成功读取了秘密值。目前,针对这一漏洞还没有缓解措施,但Upton表示,这个问题很可能在RP2350的未来版本中得到解决。
第二位获奖者是马里乌斯·门奇。他先向USB引导加载程序发出正常重启命令,然后通过故障注入(即通过电源电压故障)来跳过指令。通过精确的时机控制和预先将恶意代码加载到RAM中,代码得以运行并成功提取了OTP秘密。这种攻击被标记为E20,可以通过设置OTP标志BOOT_FLAGS0.DISABLE_WATCHDOG_SCRATCH来缓解。
第三位获奖者是凯文·库尔德斯。在要验证的固件被加载到RAM中,且在计算签名检查所需的哈希函数之前,安全启动路径存在一个可利用的弱点。库尔德斯构建了一个定制的激光故障注入系统来规避反故障检测。通过研磨掉部分封装表面露出芯片背面,用短暂的激光脉冲引入一个短暂故障,导致芯片中的数字逻辑出现故障,从而为这种攻击打开了大门。目前,针对这一(E24)漏洞还没有缓解措施,但很可能在RP2350的未来版本中得到解决。
第四位获奖者是IOActive团队。他们利用一种众所周知的半导体故障分析技术,借助被动电压对比(PVC)和聚焦离子束(FIB),从RP2350的基于反熔丝的OTP存储器中提取了数据位。IOActive的五人团队认为,他们独特的攻击向量足够强大,可以应用于使用反熔丝存储器保密的其他系统。因此,使用反熔丝存储器的组织应该立即重新评估其安全态势,并至少采用混淆技术,以增加攻击者恢复数据的难度。
雇佣的黑客团队Hextree也取得了成功。他们的调查发现,RP2350的未检测到故障率足够高,使得故障攻击成为一个值得尝试的攻击向量。基于这一发现,Hextree开始专注于电磁故障注入(EMFI)。关键的是,Hextree学会了如何使用精确计时的EMFI故障来防止OTP被正确锁定,从而使OTP中的秘密可以被读取。Upton指出,针对这种攻击(E21)有几种缓解措施,但当前的缓解措施可能会阻止用户通过USB更新设备固件。
总的来说,树莓派团队发现RP2350的故障检测方案并不像预期的那样有效。如果你错过了这次挑战赛,但对类似活动感兴趣,树莓派正在筹备另一场竞赛。他们有一个经过加固以抵御侧信道攻击的RP2350 AES实现,并希望挑战黑客破解它。更多细节将在下周公布。
