Комментарии 12
Однако данная находка казалась довольно бесполезной, так как момент чтения следует после сброса при включении, SRAM и периферия в этот момент еще не инициализированы кодом прошивки.
Но ведь содержимое блоков SRAM не очищается при подаче сброса (это сильно усложняет и неоправданно раздувает схемотехнику ячеек памяти)! Поэтому всё должно было получиться.
Существует вероятность, что в нашем случае с семействами микроконтроллеров GD32F также можно отключить питание на короткий промежуток времени, и состояние блокировки при этом будет сброшено, но инициализированное содержимое SRAM со всеми секретами и прочей полезной информацией сохранится
То есть, у авторов не было уверенности в валидности того, что они прочитают после перезапуска по переподключению питания. Далее они предлагают метод, лишённый таких потенциальных проблем, как ошибки из-за сбоев по питанию.
С другой стороны, никто не запрещает читателям самим исследовать сохранность СРАМ после переподключения питания, и опубликовать здесь результаты (отношение времени перебоя к проценту испорченных битов, для всех нулей, всей единиц, 0x55, 0xAA, псевдослучайной последовательности...)
Voltage Glitch - classic... Годы летят, а песенка всё та-же. Кому надо, закладки в отладочном интерфейсе, кому не надо, пляски с питанием и вокруг кристалла...
Причём некоторые производители даже во всякой фигне выводы сделали, что-бы не пощупать и не подсветить, а некоторые...
Ну и последний штрих к портрету, ЕМНИП лет десять тому, цена не легитимного дампа была до двух килобаксов за танец с бубном (ибо за пару-же можно было купить бубен но не любой), и от пяти за разбор чипа, без гарантий, но до победного...
...сейчас может что то и поменялось, и легитимные способы тоже продаются, но
Мне хочется верить, что подобные статьи привлекут внимание и помогут тем, кому они могут помочь.
Монументальная работа, шикарная статья. Спасибо!
Да, корпуса микросхем отлично вскрываются дешманским лазерным гравёром (1000нм). Кристалл скорее всего будет поврежден, но если задача добраться только до бондов соединяющих QSPI, то это решается за минуту. На Ютубе масса видео с демонстрацией этого процесса. Я вскрывал парочку STM32F429, чисто ради интереса, там один кристалл. :)
Чип где ГД было два кристалла и не позиционировался ими как сколько то защищенный. Дыра там очевидна. Как я понял позитив ломал более свежие модели, где флеш уже на одном кристалле. Там все сложнее.
Но и статья написана с избытком сложности.
Можно проще, ГД накосячил с блокировкой во время старта микросхемы, поэтому у нас было временное окошко в котором мы попробовали перехватить управление. Для этого пришлось писать свой быстрый эмулятор команд swd.
И у нас все получилось.... Ура.
По умолчанию, до кристалла можно добраться и аккуратно с практически гарантированной сохранностью оного! И его можно щупать, туды можно светить... Для беззащитной топологии этого овердофига, но чаще, всё ещё проще и до этого даже не доходит ;-)
Сэндвичи, это лафа конечно, но...
Всё это пишется для понимания потенциальных векторов атак.
Если понимание есть, можно чегой-то придумать, а если нет, только на авось надеяться.
Обычным "дремелем" до них можно добурить. Сам кристал же не нужен, а только контактные площадки/проводники.
Недавно даже esp8266 под глитчинг приспособили - https://github.com/PythonHacker24/fault-injector.
А что, засветка байта защиты УФ действительно так эффективна? Это же надо знать куда светить и светить узким пучком...
GigaVulnerability: обход механизмов защиты микроконтроллеров GigaDevice GD32