Tegra X1 ha una vulnerabilità non patchabile: coinvolto anche Nintendo Switch

È una falla senza possibilità di patch quella scoperta sui processori Tegra X1. Nota con il nome in codice Fusée Gelée, la falla permette di eseguire codice arbitrario non autenticato sui processori Tegra X1 utilizzati su Nintendo Switch, Google Pixel C e NVIDIA Shield.

Fusée Gelée sfrutta una falla presente nella modalità di ripristino tramite USB del processore: la pila software USB nella ROM di boot (IROM/bootROM) mette a disposizione una funzione di copia che, costruendo un attacco apposito, permette di copiare codice arbitrario nello stack di esecuzione. Questo dà effettivamente controllo sul dispositivo, dato che rende possibile l'esecuzione di codice al più elevato livello di privilegio.

La funzione di copia è particolarmente potente perché permette di copiare codice arbitrario rimpiazzando in toto lo stack (fino a 65 KB). Dal momento che il codice rimpiazzato è quello dell'ambiente bootROM, il risultato è che si ha accesso diretto al sistema senza alcuna forma di protezione per via delle limitazioni imposte dall'ambiente stesso (che deve essere leggero e non è costruito per resistere ad attacchi, fungendo anzi da validatore per i passaggi successivi). Quello che è possibile fare una volta ottenuto questo tipo di controllo è praticamente senza limiti: è possibile sovrascrivere gli indirizzi di ritorno (e quindi, a quanto sembra, l'intera trap table) e portare dunque il processore a eseguire codice da una locazione di memoria arbitraria, con tutto ciò che ne consegue.

Un ulteriore aspetto è che sono presenti dei fusibili all'interno del processore che, tra le altre cose, contengono chiavi di cifratura: dal momento che non è in vigore nessun sistema di protezione quando viene eseguito l'attacco, è possibile accedervi senza limitazioni.

È già stato creato un proof-of-concept, accessibile sulla pagina GitHub del team che ha lavorato sulla vulnerabilità, che permette di testare la vulnerabilità sui propri dispositivi e sono già stati informati i produttori dei dispositivi coinvolti.

A causa della natura del problema non è possibile intervenire sui dispositivi già in commercio. Per prevenire questo problema, infatti, è necessario bruciare dei fusibili in fase di produzione e non è più possibile farlo una volta bruciato il fusibile ODM_PRODUCTION al termine del processo, come spiegato dalla stessa NVIDIA.

I nuovi dispositivi non saranno altresì protetti a meno che non vengano introdotte nuove misure (nuove ipatch) che vadano a coprire le falle presenti. Non è noto se siano coinvolti solamente i processori Tegra X1 T210 o anche i T214.