ハッカーのShuffle2氏は、セキュリティアナリストサミット(SAS 2024)でPS5の一連の脆弱性とツールを発表しました。
ハッカーは、研究で使用したエクスプロイトツールの一部をリリースすると発表しました。
プレゼンテーションの直後、PS5のEMCファームウェア(ファームウェアの複数のリビジョン用)の復号化されたダンプがソーシャルメディアで公開されました。
このリリースは、PlayStation ハッキングシーンの誰もがSpecterDevの講演を熱心に待っている中で行われたもので、ハッカーはそこでPS5 のハイパーバイザーのエクスプロイトを公開し、リリースすると予想されています。
Shuffle2 の SAS2024 プレゼンテーション
この講演では、Playstation 5 コンソールのシステム アーキテクチャについて、efc/eap (“titania”) および emc (“salina”) チップを中心に概説します。
salina および titania でコード実行を可能にするエクスプロイトの詳細と、エクスプロイトを実装するツールのリリースについて説明します。また、初期の調査/発見のプロセスについても簡単に説明します。
セキュリティ研究者の観点から見ると、このエクスプロイトは、ファームウェア ステート マシンの見つけにくいバグをカバーし、ハードウェアの誤った構成を悪用してメモリ保護対策をバイパスする点で興味深いものです。このエクスプロイト/ツールにより、システムのさらなる調査が可能になります。
ここで影響を受けるチップはコンソールのメイン APU ではなく、「周辺」ユニットであることを皆さんに思い出させることが重要です。
つまり、これらのチップをハッキングしても、コンソールを直接制御することはできません。ただし、場合によっては「信頼できる」周辺機器と見なすことができるため、これは興味深いことです。
具体的には、EMCはPS5の「周辺」プロセッサであり、主に診断/デバッグ/周辺機器制御に使用されます。
PlayStation 開発 wiki では、EMC と EAP について次のように説明しています(PS4 の場合ですが、PS5 でもその役割は同等であると想定されています)。
EMC は、External Micro Controller の略です。EMC は、その名前がまだ知られていなかった頃、一部の人々によって MediaCon と名付けられました。
EMC の役割は、EMC Initial Program Loader をロードし、メイン APU カーネルと Syscon の icc のインターフェースとなり、Syscon やメイン APU に依存しない UART 経由のデバッグ インターフェースを提供することです。
EMC は独自の FreeBSD カーネルを実行します。
EAP の役割は、PS4 がスタンバイ モードのときでもメディア (オンライン ワイヤレス/GbLAN、ブルーレイ ドライブ、HDD/SSD) を処理することです。
EAP はスタンバイ モードで独自の FreeBSD カーネルを実行し、PS4 がスタンバイ状態のときにゲームのアップデートをダウンロードするなどのタスクを処理するためにアクティブ化されます。
APU の負荷を軽減するためにいくつかのタスクを処理します。
ネットワーク接続: ワイヤレスおよび GbLAN (バックグラウンドダウンロードおよび PlayGo を含む)
バックグラウンド キャッシュを含むファイル処理 (Bluray ドライブ、ハードドライブ、USB 3.0)
メインシリアルフラッシュ処理
本稿執筆時点では、ハッカーからのツールの公式リリースはまだ保留中です。
講演のライブプレゼンテーションは利用できませんが、録画が最終的に SAS の YouTube チャンネルに公開される可能性があります。
復号化された EMC ファームウェアがダンプされ、ダウンロード可能になりました
Shuffle2 はまだツールを公開していないが、ハッカーのプレゼンテーションに続いて、Zecoxao氏が暗号解除された EMC ファームウェア ファイルをいくつか公開した。
これらのファイルはいずれ削除されることは間違いありませんが、この記事の執筆時点ではhttps://qiwi.gg/file/vYJm3865-EMCPLAINTEXTFWで見つけることができます。
アーカイブのパスワードはEMC_ERROR_CODESです
コメント
コメントを投稿