[IoT安全][翻译]ARM芯片FLASH读出保护机制（RDP）的绕过策略

mailto: wangkai0351@gmail.com

【未经同意禁止转载】

Shedding too much Light on a Microcontroller’s Firmware Protection中文翻译

ARM芯片的FLASH读出保护机制（RDP）分为三个等级，分别是 Level 0/Level 1/Level 2。数字越大，代表保护级别越高。

其中，

Level 0：是原始配置，不施加任何限制。 调试接口处于激活状态，允许完全访问设备。 通常，此级别仅用于开发调试期间。

Level 1：使调试接口保持激活状态，但限制对FLASH的访问。 连接调试器后，FLASH将被锁定。 它既不能通过DMA直接读取也不能间接读取，也不能由CPU执行代码。 保护可以升级到Level 2，但也可以降级到RDP级别0，但代价是丢失所有FLASH内容。

Level 2：是最高的也是最严格的等级。调试接口被严格地永久地禁止使用，也就是说JATG/SWD接口全部关闭。同时在该级别不可能降级，也就是不可能降到Level 1或是Level 0.这是因为设置为level 2之后，芯片会自己烧掉Jtag保险丝的。

虽然Level 2是保护最为严密的，但是Level 1依然有存在的意义，这是因为经验表明，开发公司不喜欢完全锁定设备，因为这样就阻碍了后期维护和修复设备故障。此外，例如，STM32F1系列缺乏对RDP Level 2的支持。总而言之，这导致设备设置为 RDP Level 1。

Cold-Boot Stepping（CBS）攻击

芯片手册中保证，如果设置为Level 1，那么芯片在调试期间是开启FLASH读出保护的。人们可能很容易忽视，这个陈述仅涉及FLASH（ROM），而不涉及SRAM和外设。 Level 1中没有涉及这些组件行为信息的描述。

为了搞清楚上述的没有被定义的行为，把微控制器的protection level设置为RDP Level 1。这样我们一旦连接调试器，微控制器就会暂停，因为内核无法再从FLASH中获取任何指令。这样的行为符合datasheet中的描述。 然而，SRAM完全可读，附加调试器不会触发归零或触发任何保护机制。因此，问题在于SRAM中暴露的数据在多大程度上对系统安全构成威胁。

可读SRAM可被视为冷启动场景。 系统已停止运行，但数据仍驻留在内存RAM中。 存在一些简单的情况，其中SRAM中的秘密数据直接暴露。 这种情况不需要再说明了，因为威胁是不言而喻的。

这种通用的CBS方法可以通过使用几个技巧来控制代码执行和SRAM数据冻结。
主要步骤是：

1.重启系统，每一轮迭代前，先重启系统使系统处于初始状态。有以下几种方法重启系统

（a）关闭电源：完全复位（上电复位）只能通过电源循环执行。 它将允许系统再次从其闪存中访问和执行。

（b）置位复位：必须在系统上电之前置位，具体操作是把芯片的nrst引脚电平置低。 这允许芯片在启动时不开始执行代码。
（c）上电：系统在复位时上电。 内部电路准备开始执行，但被复位信号还是低的。

此时相当于一个冷启动过程。

2.运行系统（n·T），控制固件运行的精确时间（n·T）。

（a）取消复位：nrst引脚置高，开始执行固件代码/指令。
（b）等待（n·T）：该软件在（n·T）的时间跨度内执行。 我们感兴趣的代码将被执行。
（c）置位复位：一旦时间结束，再次置位复位，操作同1（b）。 这会停止代码执行并重置CPU，但SRAM中的数据是持久的并且会被冻结。

3.转储内存，读出系统存储器（通常为SRAM）并写入上位机某个文件中。

（a）启动调试器，调试器在复位时连接到微控制器， 调试器控制（halt指令）并强制STM32进入永久停止模式。

（b）取消复位，操作同2（a），允许cpu核访问AHB系统总线和SRAM。 SRAM状态仍然保留，因为STM32在2（a）中被调试器暂停，既不启动也不继续执行。

（c）转储内存，调试器读取SRAM（xx命令）并将其数据写入上位机某个文件中。

4.n=n+1，完成这些步骤后，系统将准备下一次迭代。 因此，（n·T）的时间跨度增加一步到（n + 1）·T。

5.重复步骤：每次迭代都以增加的执行的持续时间。 执行迭代直到涵盖整个我们感兴趣的时间跨度。

设置原理图如图1所示。左侧的笔记本电脑协调了攻击。 它使用ST-LINK调试器连接到受攻击设备的调试接口。 笔记本电脑与攻击控制板有UART连接。 攻击控制板上的微控制器处理受攻击设备的复位线和电源。 接通和断开电源可能是困难的，因为受攻击的设备中的微控制器通常是较大设备的一部分，例如AC供电系统。 因此，我们采用了一个继电器，使攻击控制微控制器能够切换高电压和电流。

CBS要求具有微秒精度的精确计时，这是普通计算机系统无法提供的。即使使用RT-patched Linux内核，高时序抖动和可重复性也不尽如人意。因此，调试器无法控制执行的持续时间，因为计算机系统及其USB接口都不能保证实时操作。
因此，采用如图1所示的攻击控制板。其微控制器提供低抖动定时源，因为该系统主要用于连续控制。产生抖动的模块（例如，中断）被禁用，从而实现完全确定的定时行为。在每次迭代开始时，计算机系统将期望的执行持续时间发送到攻击控制板。接下来，它会自动启动受攻击的设备，等待配置的持续时间并再次停止设备。因此，时间关键任务由攻击控制板专门处理。这提供了亚微秒的精度。通过使用电路板，精确地步入选择的时刻变得可行。