之前帮忙逆向一个使用nRF52840做主控的物联网设备,在尝试使用J-link读取固件的时候发现芯片加了APPROTECT,但最后成果绕过,特此记录。
在nRF51系列中,固件使用RBPCONF保护,RBP仅仅禁止调试器读取内存,而调试器仍可操作寄存器,因此攻击者仍可在指令中撞到LDR指令(功能是将某寄存器所存地址处的数据加载到另一个寄存器中),并不断更改通用寄存器和PC寄存器的值来读取SRAM和FLASH中的数据。
不同于RBPCONF,APPROTECT直接用硬件切断了调试器与内核间的通信,因此不能再故技重施。
漏洞原理
通过搜索发现nRF52系列芯片存在CVE-2021-29415漏洞,可在上电初期对芯片进行电压毛刺故障注入,从而绕过APPROTECT(详见https://limitedresults.com/2020/06/nrf52-debug-resurrection-approtect-bypass/)。并且由于AirTag也使用了nRF52系列的芯片,国外存在大量相关的绕过资料,甚至有人写了一个使用ESP32,通过web界面一键提取固件的程序
因此本文主要侧重逆向实战,即在无原理图的PCB上复现该漏洞。
该漏洞故障注入的核心操作是在芯片上电复位(其它复位手段不会复位APPROTECT)后的很短一段时间内对芯片内部1.1V稳压器的外置去耦电容DEC1和GND直接进行一次极快的短接。
注入点确定
根据上述资料,使用示波器观察DEC1处电压波形(下图黄色波形),在芯片上电(下图蓝色波形)大约1s后,DEC1处电压会有一个100mv以上的下降,而注入点正是这个下降沿。
通过对比数据手册中的参考原理图和实际PCB,确定出故障注入点:下图C5右侧焊点(左侧测得是GND)
电压毛刺注入电路实现
由于注入时机在每次芯片上电后,因此需要需要设计一个既能快速切换芯片通断电和注入点与GND之间连接的电路。考虑到故障注入对时机的要求严格,且该PCB上3v3的负载较大,不能使用单片机的IO之间供电,最初计划使用PMOS控制芯片供电,使用NMOS控制电压毛刺。
但实际发现PMOS导通后的压降较大,所以干脆把PMOS换成了继电器。但继电器的每次吸合时间的稳定性较差,导致注入毛刺的时机不稳定,降低了复现的成功率。单片机使用了最简单的Arduino UNO,理论上只要支持微妙级延迟的单片机都可以。
MCU代码
#define LED 13
#define GLITCHER 10
#define NRF_POWER 9
void setup() {
Serial.begin (9600);
pinMode(LED,OUTPUT);
pinMode(4,INPUT_PULLUP);
pinMode(GLITCHER,OUTPUT);
pinMode(NRF_POWER,OUTPUT);
digitalWrite(GLITCHER,LOW);
}
//根据示波器显示进行调整
uint32_t delay_time = 1000;
uint32_t width_time = 6;
void loop() {
if(Serial.available())
{
if(Serial.read() =='g')
{
// Serial.println(delay_time);
digitalWrite(LED,HIGH);
//开始断电
digitalWrite(NRF_POWER,HIGH);
delay(1000);
digitalWrite(LED,LOW);
//开始供电
digitalWrite(NRF_POWER,LOW);
delay(13);
delayMicroseconds(delay_time);
//产生毛刺
digitalWrite(GLITCHER,HIGH);
delayMicroseconds(width_time);
digitalWrite(GLITCHER,LOW);
width_time++;
//暴力测试
if(width_time >16)
{
width_time = 6;
delay_time += 3;
}
}
}
}
成功效果
在暴力测试毛刺注入的同时使用示波器观察DEC1脚的电压变化,当注入成功时,DEC1处的电压不再下降:
此时使用openocd通过j-link ob连接芯片即可正常连接并读取固件
openocd -s /usr/local/share/openocd/scripts -f ./interface/jlink.cfg -c "transport select swd" -f
./target/nrf52.cfg -c "init;dump_image nrf52_dumped.bin 0x0 0x100000"
也可通过编写脚本,在每次注入后都尝试连接芯片读取固件。