Raspberry Pi RP2350: Bilgisayar Korsanları Güvenlik Özelliklerini Aşıyor

Raspberry Pi RP2350 mikrodenetleyici, ARM TrustZone ve kriptografik anahtarları depolamak için Tek Seferlik Programlanabilir (OTP) bellek gibi güvenlik özelliklerine sahiptir.

Duyuru

Raspberry Pi, bu işlevlerin saldırganlara karşı sağlamlığını göstermek için Ağustos 2024'te nakit ödüllü (hata ödülü) bir hackleme yarışması duyurdu. Yakın zamanda dört kazanan açıklandı ve her biri 20.000 doların tamamını aldı.

Yarışmaya ek olarak, Raspi'nin patronu Eben Upton, RP2350'de yerleşik olan aksaklık dedektörüne yapılan başarılı bir saldırıdan da bahsetti; çünkü bu, herhangi bir parasal ödül teklif edilmeyen bir güvenlik açığıydı.

Upton, başarılı bir saldırının RP2350'ye fiziksel erişim gerektirdiğini vurguladı. Saldırganlar çipe diğer şeylerin yanı sıra voltaj darbeleri, lazer ışığı ve elektromanyetik alanlar kullanarak saldırdı. Bazı güvenlik açıklarının RP2350'nin gelecekteki revizyonlarında düzeltilmesi bekleniyor ve belgelere hata hatası olarak dahil edildi.

Eben Upton, Raspberry Pi'nin güvenlik açıkları konusunda açık olduğuna dikkat çekiyor. Şirket aynı zamanda rakiplerinden farklılaşmak istiyor.

RP2350 Hacking Challenge'ın kazananları

RP2350 Hacking Challenge'ın dört kazananı Aedan Cullen, Marius Muench, Kévin Courdesses ve IOActive şirketi oldu. Hextree'den Thomas Roth, aksaklık dedektörünü zekasıyla alt etti.

Aedan Cullen saldırısını 2024 sonlarında Kaos İletişim Kongresi'nde sundu; Güç kaynağını değiştirerek OTP koruma fonksiyonunun üstesinden geldi. Ayrıca RP2350'nin güzel bir kalıp atışını da gösterdi.

Birmingham Üniversitesi'nden Prof. Markus Muench de RP2350'yi devre dışı bırakmak için voltaj darbeleri enjekte etti.

Kévin Courdesses çipin muhafazasını açtı ve imza kontrolünde bir hataya neden olmak için lazer darbeleri kullandı.

Ancak IOActive ekibi, devre parçalarının pasif voltaj kontrastını (PVC) görselleştirmek için ince odaklanmış elektron ışınına (Odaklanmış İyon Işını, FIB) sahip bir elektron mikroskobu kullandı.

(chiw)