A maneira longa e complicada de obter acesso root a um terminal Starlink

Prolongar / Ninguém disse que seria fácil obter acesso root ao espaço.

Obter acesso root dentro de um dos pratos do Starlink requer algumas coisas difíceis de obter: uma compreensão profunda dos circuitos da placa, hardware e habilidades de dumping de eMMC, uma compreensão do software bootloader e um PCB personalizado. Mas os pesquisadores provaram que isso pode ser feito.

Em sua palestra “Glitched on Earth by Humans: A Black-Box Security Evaluation of the SpaceX Starlink User Terminal”, pesquisadores de KU Leuven, na Bélgica, detalharam no Black Hat 2022 no início deste ano como eles foram capazes de executar código arbitrário em um Terminal Starlink usuário (ou seja, placa parabólica) usando um chip modular personalizado via injeção de falha de tensão. A conferência aconteceu em agosto, mas os slides e o repositório dos pesquisadores foram recentemente vai ao redor.

Não há ameaça imediata e a vulnerabilidade é revelada e limitada. Ao ignorar a verificação de assinatura, os pesquisadores foram capazes de “explorar ainda mais o terminal de usuário Starlink e o lado da rede do sistema”. slides de conferência de chapéu preto observe que o Starlink é “um produto bem projetado (do ponto de vista da segurança)”. Conseguir uma casca de raiz foi difícil e não abriu nenhum movimento lateral óbvio ou escalada. Mas atualizar o firmware e reutilizar pratos Starlink para outros fins? Pode ser.

No entanto, a segurança dos satélites está longe de ser puramente teórica. O provedor de satélite Viasat viu milhares de modems colocados offline pelo malware AcidRain, impulsionado pelo que a maioria vê como atores estatais russos. E embora os pesquisadores da KU Leuven observem como seria difícil e complicado conectar seu chip personalizado a um terminal Starlink em estado selvagem, muitos terminais Starlink são colocados nos locais mais remotos. Isso lhe dá um pouco mais de tempo para desmontar uma unidade e fazer as mais de 20 conexões de solda de ponta fina detalhadas nas imagens do slide.

Não é fácil resumir as muitas técnicas e disciplinas usadas no hack de hardware dos pesquisadores, mas aqui está uma tentativa. Após uma análise de alto nível do cartão, os pesquisadores localizaram pontos de teste para ler o armazenamento eMMC do cartão. Ao despejar o firmware para análise, eles encontraram um local onde a introdução de uma tensão errante no sistema central em um chip (SoC) poderia alterar uma variável importante durante a inicialização: “conexão de desenvolvimento habilitada: sim”. É lento, só funciona de vez em quando, e mexer na voltagem pode causar muitos outros erros, mas funcionou.

o chip usado por pesquisadores está centrado em torno de um Microcontrolador Raspberry Pi RP2040. Ao contrário da maioria dos hardwares Raspberry Pi, aparentemente você ainda pode solicitar e receber o chip Pi principal, se embarcar nessa jornada. Você pode ler mais sobre o processo de despejo de firmware no postagem no blog dos pesquisadores.