Взломать Starlink — Zoringer на vc.ru

Леннерт Ваутерс, исследователь безопасности из Лёвенского католического университета (Бельгия), был одним из первых, кто смог взломать пользовательский терминал Starlink. В прошлом году он уведомил компанию об уязвимости, а сейчас решил обнародовать свой опыт.

Система Starlink состоит из трех основных частей. Спутники движутся по низкой орбите, примерно в 550 км над поверхностью Земли, и передают ей сигналы. Спутники взаимодействуют с двумя наземными системами: шлюзами, которые посылают интернет-соединение на спутники, и спутниковыми тарелками, которые люди могут купить. Ваутерс, который ранее создал инструмент, способный разблокировать Tesla за 90 секунд, обратил внимание на безопасность терминала и его чипов.

Чтобы получить доступ к ПО спутниковой антенны, Ваутерс разобрал тарелку и разработал специальный инструмент для взлома, который можно подключить к антенне. Кастомизированная печатная плата — модчип — состоит из готовых деталей, стоимость которых составляет около $25.

После подключения к антенне Starlink модчип может запустить атаку fault-injection («атака внесения неисправностей») — временное замыкание системы — чтобы вызвать сбой и обойти средства защиты Starlink.

Теперь Ваутерс опубликовал на GitHub исходный код своего инструмента, упомянув некоторые детали, необходимые для запуска атаки.

Допустим, вы злоумышленник и хотите атаковать спутник, — объясняет Ваутерс. — Можно попытаться создать свою собственную систему, которая позволит взаимодействовать со спутником, но это довольно сложно. Поэтому лучше проникнуть через пользовательский терминал

В прошлом году исследователь уведомил Starlink об уязвимости, и компания выплатила ему вознаграждение по программе bug bounty. Ваутерс говорит, что, хотя SpaceX выпустила соответствующее обновление, основную проблему не устранить, не создав новую версию основного чипа. По его словам, все существующие пользовательские терминалы уязвимы.

Ваутерс тестирует систему Starlink с мая 2021 года. Подключаясь с крыши своего университета, он получил скорость загрузки 268 Мбит/с и скорость отдачи 49 Мбит/с. Затем пришло время взломать устройство. С помощью «тепловой пушки, инструментов для взлома, изопропилового спирта и большого терпения», он смог снять большую металлическую крышку с тарелки и получить доступ к ее внутренним компонентам.

Под корпусом диаметром в 59 см находится большая печатная плата. На ней размещена однокристальная система, включающая пользовательский четырехъядерный процессор ARM Cortex-A53, архитектура которого не задокументирована публично, что затрудняет его взлом. Среди других элементов — радиочастотное оборудование, системы питания через Ethernet и GPS-приемник.

Открыв и изучив тарелку, Ваутерс смог понять, как загрузить для нее прошивку.

Он отсканировал тарелку Starlink, чтобы разработать модчип под ее плату. После он припаял устройство к плате Starlink и подключил его с помощью нескольких проводов. Сам модчип состоит из микроконтроллера Raspberry Pi, флэш-памяти, электронных переключателей и регулятора напряжения.

Чтобы получить доступ к ПО тарелки, Ваутерс использовал свою систему для обхода защиты с использованием сбоя напряжения. Когда тарелка Starlink включена, она использует ряд различных этапов загрузки. Ваутерс использует сбой, чтобы обойти загрузчик ПЗУ, который записывается в систему на чипе и не может быть обновлен. Затем прошивка хакера запускается на последующих загрузчиках, что позволяет получить контроль над тарелкой.

«С точки зрения высокого уровня, есть две очевидные вещи, которые вы могли бы попытаться атаковать: проверка подписи или проверка хэша, — объясняет он. — Сбой работает против процесса проверки подписи. Обычно замыкания стараются избежать. В данном случае мы вызываем его намеренно».

Первоначально Ваутерс пытался вызвать сбой в работе чипа в конце загрузки операционной системы. Но он обнаружил, что проще и надежнее вызвать сбой в начале цикла: он прекращает работу разъединяющих конденсаторов, которые выравнивают напряжение питания, происходит сбой, а затем конденсаторы включаются.

Это позволяет запускать исправленную версию микропрограммы Starlink во время цикла загрузки и в конечном итоге обеспечивает доступ к ее базовым системам. По словам Ваутерса, узнав об его находках, Starlink предложил ему доступ к ПО устройства на уровне исследователя. Однако он говорит, что отказался, поскольку слишком углубился в работу и хотел создать модчип.

Для теста он вывесил модифицированную тарелку в окне лаборатории и использовал пластиковый пакет в качестве импровизированной системы гидроизоляции.

После Starlink выпустила обновление прошивки, но Ваутерс считает, что оно лишь усложняет атаку, но не делает ее невозможной.