PS3: LV0 Man-in-the-Middle-Angriffsbeschreibung + Tools, von MikeM64. Vollständiges CFW für alle PS3s kommt als nächstes?

PS3: LV0 Man-in-the-Middle-Angriffsbeschreibung + Tools, von MikeM64. Vollständiges CFW für alle PS3s kommt als nächstes?

Der PS3-Entwickler MikeM64 hat eine vollständige Beschreibung seines Hardware-MITM-Angriffs auf die PS3 veröffentlicht, nachdem Bilder des Angriffs vor einigen Wochen enthüllt wurden . Das Ziel dieses Exploits ist es, den LV0 (Boot Loader) auf neueren PS3-Modellen vollständig zu entsperren, um letztendlich Full Custom Firmwares auf der Konsole installieren zu können.

PS3-Exploits – Der aktuelle Status

Wir haben es bereits erwähnt, das Hacken einer PS3 ist heutzutage auf fast allen Modellen und Firmwares machbar, obwohl Sie abhängig von Ihrer PS3-Hardware möglicherweise eine Full Custom-Firmware installieren können oder nicht. Für die meisten Leute ist der Unterschied zwischen dem, was sie verwenden können ( PS3HEN ) und einer vollständig benutzerdefinierten Firmware, anekdotisch, aber LV0 bleibt der heilige Gral des PS3-Hackings. MikeM64 hat eine großartige Zusammenfassung:

Die PlayStation 3 hat eine sehr lange Homebrew-Geschichte. Bei der Erstveröffentlichung der PS3 wurde die Linux-Unterstützung am ersten Tag eingebaut! Die Leute hatten die Möglichkeit, jede PowerPC-basierte Distribution mit voller Kernel-Unterstützung für die verschiedenen Systemgeräte zu installieren. Dies ermöglichte alle möglichen interessanten Anwendungen wie Supercomputing-Cluster und eine billige PowerPC-Entwicklungsbox. Es gab einiges Herumstochern und Anstoßen von Linux an den Hypervisor, aber niemand machte sich wirklich die Mühe, zu weit zu graben, bis die OtherOS-Unterstützung von schlanken Konsolen entfernt wurde. Nach der Veröffentlichung des HTAB-Exploits von GeoHot wurde OtherOS in 3.21 von allen Konsolen entfernt. Dies war der Katalysator, der die Schleusen für die vollständige Nutzung der Konsole öffnete. Ich habe den aktuellen Stand vieler Exploits, die für die PS3-Konsole veröffentlicht wurden, unten zusammengefasst:

Ausbeuten Ausführung Aktiviert in LV1 Aktiviert in LV2 Anmerkungen
GeoHot HTAB-Störungen Irgendein? R/W Arbiträrer HV-Speicher N / A FPGA, das verwendet wird, um Speicheradressleitungen zu stören
PSJailbreak-Dongle 3.41 N / A Homebrew und Piraterie in GameOS, OtherOS-Unterstützung wiederhergestellt Dongles nutzten das Analysieren von USB-Gerätedeskriptoren aus, um Codeausführung in LV2 zu erhalten.
fail0verflow Sigfail <= 3,55 Kundenspezifisch signiert LV1 Kundenspezifisch signiert LV2 Funktioniert auf allen Konsolen mit einem Minver von <= 3,55.
Post 3.55/Sigfail-Ära
lv0ldr Syscon Packet TOCTOU – Linux Dumping Irgendein? N / A N / A Die lv0-Stammschlüssel wurden ausgegeben, um die Entschlüsselung aller ausführbaren LV0-Dateien und die Anmeldung auf <= 3.55 Minver-Konsolen zu ermöglichen.
HENNE <= 4,89 N / A Homebrew und Piraterie in GameOS Keine OtherOS-Unterstützung
lv0ldr Syscon-Paket TOCTOU – HW-Remix Irgendein? Benutzerdefinierter Code in LV1 Benutzerdefinierter Code in LV2 Sollte auf allen Konsolen mit HW funktionieren. Das ist das heutige Thema!

Nach der Veröffentlichung des sigfail-Exploits versuchte Sony, die Bootchain erneut zu sichern, indem alle Loader in lv0 verschoben wurden, da diese noch abgelegt oder ausgenutzt werden mussten. Dies war eine gute Notlösung, bis Juan Nadie und die drei Musketiere lv0ldr ablegten und ihr Exploit und ihre Schlüssel geleakt wurden. Sobald die LV0-Schlüssel verfügbar waren, war es nun möglich, den gesamten aktualisierbaren Code auf älteren Konsolen zu ändern und neu zu signieren. Konsolen, die nach der Veröffentlichung von sigfail hergestellt wurden, wurden mit neuen lv0-Metadaten (lv0.2) aktualisiert, die nicht für den sigfail-Exploit anfällig sind.

Für alle Konsolen, die nicht für Sigfail anfällig waren, wurde HEN veröffentlicht, das sowohl den integrierten Webbrowser als auch den LV2-Kernel ausnutzte, um sowohl Homebrew als auch Piraterie in GameOS zu ermöglichen. Dies ermöglicht bis heute keine Unterstützung von OtherOS oder Hypervisor-Modifikationen.

Mit anderen Worten, um die vollständige Kontrolle über alle PS3-Modelle zu erlangen, ist die Entführung von LV0 unerlässlich, und das hat MikeM64 mit ein bisschen Hardware und viel Versuch und Irrtum erreicht.

Mehr zum Thema:  Madlad halbiert das Motherboard, um einen tragbaren Sega Saturn zu schaffen (und es funktioniert!)

Nutzung von PS3 LV0 mit Hardware

Die allgemeine Idee war, eine Software-Schwachstelle aus der 3.55-Ära zu reproduzieren, die zu einem LV0-Key-Dump führte ( das „3 Musketiere“-Leck ). MikeM64 schreibt:

Der lv0ldr Exploit, der zum Dumpen von lv0ldr verwendet wird, zielt auf die Verarbeitung von Syscon-Paketen zwischen Syscon und Cell ab. In lv0 wurde entdeckt, dass der Code, der das Lesen von Syscon-Paketen verwaltet, einen TOCTOU-Fehler enthielt, der den Paket-Header nach der Validierung erneut liest.[…]

Dieses Problem allein würde normalerweise nicht ausreichen, um lv0ldr auszunutzen. Sie müssten in der Lage sein, Speicherschreibvorgänge zeitlich festzulegen und in den MMIO-Bereich einzufügen, der den Syscon-Paketpuffer enthält, um die erste Prüfsumme zu übergeben, und dann den neuen Header schreiben, um die Memcpy beliebiger Größe auszunutzen. Das Zeitfenster, um dies auszunutzen, ist extrem, extrem klein. Glücklicherweise können wir dieses Zeitfenster dank der Debugging-Einrichtungen, die IBM in der Zelle gelassen hat, beliebig erweitern. Sowohl für normale als auch für isolierte SPUs können wir Interrupts für alle MFC-Übertragungen in oder aus der SPU einschalten. Dadurch können wir die Ausführung von lv0ldr bei jedem Speicherzugriff anhalten, wodurch der Exploit aktiviert und lv0ldr ausgegeben wird.

MikeM64 gibt ausführliche Details darüber, wie man den Hardware-Hack durchführt, und bietet alle notwendigen Tools für andere Hacker, um an den nächsten Schritten zu arbeiten, einschließlich CFW-Unterstützung für alle PS3-Modelle. Es ist jetzt wahrscheinlich nur eine Frage der Zeit, bis dies geschieht.

Die erforderliche Hardware ist „einfach“ (aber die beteiligten Fähigkeiten sind es nicht), nämlich ein Teensy 4.0 und ein Arty-S7 50 (obwohl MikeM64 angibt, dass dies leicht auf jede Arty A-Serie portiert werden könnte) und die dazugehörigen generischen Kabel.

Mehr zum Thema:  Emulation: PS4 offiziell zu unterstützten Plattformen in Retroarch

Sie können die gesamte Beschreibung hier überprüfen .

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert