在第39屆混沌通訊大會(39C3)上,年僅22歲的資安女天才研究員 Amber Katze 宣布,她已完全破解 NVIDIA Tegra X2 晶片的安全啟動機制。這代表全球數百萬計搭載這款晶片的裝置,從 MR 眼鏡到特斯拉電動車的系統,只要能接觸到它們的 USB 連接埠,就有可能遭到入侵。
Amber Katze 表示,她之所以投入大量心力去破解 NVIDIA Tegra X2 晶片,是因為 Magic Leap 在 2024 年關閉了 Magic Leap One 的啟動伺服器,導致這款 MR 眼鏡變成無法使用的「電子垃圾」,因此她決定要恢復這些裝置的正常功能。
Magic Leap One 採用了 NVIDIA Tegra X2 晶片,而這款晶片在啟動時使用了 Fastboot 通訊協定。NVIDIA 提供了其開源程式碼實作,Katze 在深入研究程式碼後,發現了兩個關鍵漏洞:「sparsehax」和「dtbhax」。
「Sparsehax」漏洞涉及系統解壓縮 SparseFS 映像檔時的邏輯缺陷,而「dtbhax」則允許透過載入特定的核心裝置樹區塊(DTB)來實現持續性存取。
運用這兩個漏洞,Katze 成功地在 Magic Leap One 上執行了未簽署的程式碼,突破了系統的第一道防線。
接著,她透過故障注入的方式,迫使 Tegra X2 在啟動過程中出現錯誤,並透過側通道匯出了受到嚴密保護的 BootROM 韌體。
在 BootROM 程式碼中,她發現了 USB 復原模式的嚴重漏洞。由於 BootROM 是晶片上矽晶圓的唯讀程式碼,NVIDIA 無法透過軟體修復這個缺陷。
Katze 指出,透過 USB 復原模式的漏洞,所有使用 NVIDIA Tegra X2 晶片的裝置,只要能接觸到 USB 連接埠,就可以繞過安全啟動鏈並完全控制,這甚至包含了特斯拉電動車的自動駕駛系統。
雖然攻擊條件較為嚴苛(需要實體接觸),但 Katze 仍然建立出複雜的利用鏈,最終實現了最高權限的程式碼執行。
不過值得注意的是,Tegra X2 晶片於 2016 年發表,目前已停產,後續相關漏洞也已修復,因此對一般使用者來說,實際影響有限。
- 延伸閱讀:蘋果封殺太慢?iPhone 17 Pro Max被破解變桌機,果粉敲碗官方開放
- 延伸閱讀:遊戲破解女皇 Empress 宣布退出破解圈,竟同時呼籲玩家:去買正版 Denuvo 遊戲
- 延伸閱讀:AI「破解我不是機器人」能力大比拚:Claude 最強、Gemini 居次、GPT-5 墊底
