Долгий и трудный путь к рутированию терминала Starlink

Для получения root-доступа к одному из блюд Starlink требуется несколько вещей, которые трудно получить: глубокое понимание схемы платы, оборудование и навыки дампа eMMC, понимание программного обеспечения загрузчика и нестандартная печатная плата. Но исследователи доказали, что это возможно.

В своем выступлении «Сбой на Земле людьми: оценка безопасности черного ящика пользовательского терминала SpaceX Starlink» исследователи из KU Leuven в Бельгии подробно рассказали на Black Hat 2022 в начале этого года, как им удалось выполнить произвольный код на пользователе Starlink. Терминал (например, тарелку) с помощью специально изготовленного модчипа через вход напряжения. Разговор состоялся в августе, но слайды и репозиторий исследователей свежие .

Непосредственной угрозы нет, а уязвимость раскрыта и ограничена. Хотя обход проверки подписи позволил исследователям «дополнительно изучить пользовательский терминал Starlink и сетевую часть системы», слайды из заметки Black Hat показывают, что Starlink — это «хорошо разработанный продукт (с точки зрения безопасности)». «Получить корневую оболочку было непросто, и это не привело к очевидному боковому перемещению или эскалации. Но обновить прошивку и перепрофилировать тарелки Starlink для других целей? Может быть.

Нелегко обобщить множество методов и дисциплин, используемых исследователями при взломе оборудования, но вот попытка. После тщательного анализа платы исследователи обнаружили точки останова для чтения памяти eMMC платы. Сбросив прошивку для анализа, они обнаружили место, где введение ошибочного напряжения в базовую систему на чипе (SoC) могло изменить важную переменную во время загрузки: «Вход в систему для разработки включен: да». манипулирование напряжением может вызвать множество других ошибок, но это сработало.

Используемый исследователями модчип основан на микроконтроллере RaspberryPi RP2040. В отличие от большинства аппаратных средств Raspberry Pi, вы все равно можете заказать и получить основной чип Pi, если отправитесь в такое путешествие. Подробнее о процессе создания дампа прошивки можно прочитать в блоге исследователей .