Positive Technologies
Новости

Эксперты Positive Technologies обращают внимание на уязвимые микроконтроллеры китайского производителя

Недостатки защиты чипов могут влиять на безопасность широкого спектра оборудования

Одна из серьезных угроз для разработчиков конечных устройств — слабая защита от считывания (readout protection). Исследователи Positive Technologies выяснили, что потенциальный злоумышленник может обойти такую защиту в чипах GigaDevice GD32, извлечь прошивку, найти в ней уязвимости для атаки, модифицировать или украсть внутреннее ПО целиком, чтобы выпустить устройство под другой маркой. Микроконтроллеры GigaDevice GD32 применяются в зарядных станциях, автомобильных двигателях, аккумуляторах, системах доступа в помещение и в другом оборудовании вендоров из разных стран.

«Множество современных устройств собраны из типовых компонентов, суммарная стоимость которых, как правило, значительно ниже цены конечного девайса. Основную прибавочную стоимость имеет прошивка, позволяющая слаженно работать отдельным компонентам. Для защиты этой критически важной интеллектуальной собственности в микроконтроллерах (во флеш-памяти которых хранится прошивка) используют технологии, запрещающие ее считывание. На примере чипов китайского производителя GigaDevice мы обнаружили, что эт...

Алексей Усанов
Алексей УсановРуководитель направления исследований безопасности аппаратных решений Positive Technologies

Исследователи обнаружили недостатки защиты от считывания прошивки в одном устройстве, но для независимой проверки безопасности подобных чипов приобрели и протестировали 11 микроконтроллеров GigaDevice из серии GD32, предварительно активировав в них эту технологию защиты. Экспертам удалось подтвердить возможность извлечения прошивки в незашифрованном виде — уязвимости оказались подвержены все исследованные чипы, относящиеся к семействам GD32F1×0, GD32F3×0, GD32F4xx, GD32L23x, GD32E23x, GD32E50x, GD32C10x, GD32E10x, GD32F20x, GD32F30x, GD32F403. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения. 

Учитывая трудность устранения аппаратных уязвимостей, Positive Technologies рекомендует производителям при проектировании конечных устройств использовать микроконтроллеры, технология защиты от скачивания прошивки в которых протестирована независимыми исследователями. Производители могут проверять наименования микроконтроллеров, а пользователи, в свою очередь, запрашивать такую информацию у вендоров либо определять маркировку чипа самостоятельно, разобрав устройство.