德國安全研究員成功破解PS5硬體漏洞無法治癒

近日，在德國混沌電腦俱樂部第 39 屆大會上，知名安全研究員 tihmstar 發表了一項引人注目的研究成果，他成功破解了 PlayStation 5 遊戲主機所採用的 AMD 平台安全處理器（Platform Security Processor，PSP），並發現至少六個無法透過軟體更新修補的硬體漏洞。這項研究不僅影響 PS5，更波及多款採用 AMD Zen 2 架構的處理器產品。

這項研究起因於 tihmstar 想要在《Beat Saber》中使用社群創作的自訂歌曲。他購買了 PS5 主機和 VR 頭戴裝置後發現，主機版遊戲內容有限，而 Steam 平台上的豐富自訂歌曲無法在 PS5 上使用。因此，他決定自行破解主機以移植這些自訂歌曲。

起初，tihmstar 嘗試通過傳統的軟體方法進行破解，如透過瀏覽器漏洞取得進入點並攻破核心系統。然而，PS5 的 Hypervisor（虛擬機監視器）設計了「僅執行模式」的核心文字保護機制，使盲目利用漏洞變得極為困難。加上嚴格的沙盒隔離、無法存取的系統呼叫以及大量被移除的核心功能，使得軟體破解之路難以進行。最終，他決定採取更激進的手法：直接攻擊硬體層級的安全核心，通過物理故障注入（fault injection）技術來突破 PS5 的安全防護。

為了降低成本和風險，tihmstar 找到了一個聰明的替代方案。他發現，AMD 在製造過程中如果產生了 GPU 故障晶片，會將這些晶片改造成衍生的桌上型主機板販售。這些主機板採用與 PS5 完全相同的系統單晶片（SoC），但價格便宜許多，尤其是在 eBay 上購買故障品。

透過破解這些桌上型主機板（如 AMD 4800S），研究團隊能夠在較低成本下測試各種攻擊手法，再將成功的技術移植到 PS5 主機上。研究過程中，tihmstar 和其團隊發現了幾個重大安全漏洞：

1. PSP BootROM 漏洞：這是最關鍵的發現，AMD 平台安全處理器的 BootROM 存在一個設計缺陷，在系統進入快速中斷請求（FIQ）模式時，clear regs & stack then boot or hang 函數會先將暫存器 R11 和 R12 歸零，然後才進行評估。導致即使發生錯誤時系統仍會繞過緊急停機路徑，繼續執行開機程序。這是一個無法修補的硬體漏洞。

2. TOCTOU（Time-of-Check to Time-of-Use）漏洞：系統在載入離晶片開機載入程式（offchip bootloader）時存在時序漏洞，攻擊者可以在系統讀取程式碼兩次之間切換資料，讓系統執行未經驗證的自訂程式碼。

3. 不安全的 MMIO 存取：早期 BIOS 版本允許使用者模式直接存取記憶體對映輸入輸出（MMIO）暫存器，使攻擊者能夠提升權限至核心層級。

4. SlotHax：密鑰傾印漏洞：通過操縱密碼協同處理器內的記憶體偏移量，研究人員開發出一種名為「SlotHax」技術，能傾印受保護的加密金鑰。

研究團隊還開發了多種創新的硬體攻擊技術，如電壓故障注入、客製化改裝晶片、微控制器整合及逆向工程與記憶體操縱。截至演講時，他們已經在零售版 PS5 上成功執行自訂程式碼，實現《Beat Saber》的自訂歌曲遊玩。

然而，仍有尚未完成的目標：透過 FIQ 漏洞實現完整的 BootROM 程式碼執行，目前受限於無法觸發非看門狗計時器的 FIQ 中斷。這項研究對 PlayStation 5 遊戲主機以及採用 AMD Zen 2 架構的處理器產品造成了影響。

此外，這些發現對於 PS5 玩家和開發商都提出了新的挑戰：完全開放的自製軟體支援、遊戲修改能力及根信任層級的破解等。然而，由於這些漏洞存在於硬體層級的 BootROM 中，無法透過系統更新修補，這意味著所有現有的 PS5 主機理論上都可能被破解且漏洞無法修補。

總之，tihmstar 的研究展示了多種創新的硬體攻擊技術，為安全研究社群提供了寶貴的知識基礎。該研究不僅實現了個人目標，更揭開了「pAMDora’s box」（AMD 的潘朵拉之盒），讓業界重新審視硬體安全的重要性。