在第39屆Chaos Communication Congress(39C2)大會,22歲的安全研究員Elise Amber Katze宣布突破NVIDIA Tegra X2晶片的安全啟動機制,只要是採用這款晶片的設備、無論是MR眼鏡或自動駕駛系統,只要能夠連接到USB介面就可進行入侵:讓Elise Amber Katze堅持突破NVIDIA Tegra X2的關鍵,是2024年Magic Leep關閉Magic Leep One關閉啟動伺服器,使高達2,300美金的Magic Leep One成為電子垃圾。
Elise Amber Katze在被朋友告知Magic Leep關閉Magic Leep One啟動伺服器後導致產品無法使用,她對此深惡痛絕,並興起讓這些失去功能的Magic Leep One可再次被使用的念頭,而Magic Leep One搭載的正是NVIDIA的Tegra X2處理器,於是她開始從NVDIA公布的原始碼探索可能性。
Elise Amber Katze研究Tegra X2使用的Fastboot協定的原始碼,發現「sparsehax」及「dtbhax」兩個關鍵漏洞,其中「sparsehax」是系統解壓縮SparseFS鏡像的邏輯缺陷,「dtbhax」則允許載入特定Device Tree Source(DTB)映像檔使其可長時存取,她利用這兩個漏洞執行未簽名程式碼攻破初步防線。
後續Elise Amber Katze進一步使用故障注入技術,自Tegra X2開發套件匯出BootROM,她透過解析BootROM發現一個USB復原模式的漏洞,不過畢竟要透過USB控制器存取,故想要利用此漏洞的難度相當高,但她最終還是順利突破漏洞取得最高權限執行程式碼。
由於此攻擊方式需要使用USB介面進行,且Tegra X2已經停產且少見於新產品,故影響層面不大,但Elise Amber Katze也證實同樣搭載Tegra X2的Tesla Autopilot 2與Autopilot 2.5可透過相同方式攻克。
