라즈베리 파이와 Hextree가 주최한 RP2350 해킹 챌린지가 마무리되었으며, 제출물의 높은 품질 덕분에 네 명의 수상자가 각각 2만 달러의 상금을 수상하게 되었습니다. RP2350 마이크로컨트롤러는 RP2040의 후속 제품으로 출시되었으며, Arm TrustZone 기술을 포함한 보안 강화 기능을 갖추고 있습니다. 이번 챌린지는 RP2350이 보안 애플리케이션에 배포되기 전에 취약점을 식별하는 것을 목표로 하여 '투명성을 통한 보안'이라는 철학을 촉진했습니다.
수상자에는 전압 주입 글리치 공격을 사용하여 비활성화된 RISC-V 코어에 접근한 Aedan Cullen이 포함되어 있으며, 현재 완화 조치가 없는 취약점을 드러냈습니다. Marius Muench는 결함 주입 방법을 이용해 OTP 비밀을 추출했으며, 이는 OTP 플래그를 조정함으로써 완화할 수 있습니다. Kévin Courdesses는 맞춤형 레이저 결함 주입 시스템을 사용하여 보안 부팅 경로의 약점을 악용했으며, 이 또한 현재 해결책이 없습니다. IOActive 팀은 반도체 고장 분석 기법을 사용하여 RP2350의 안티퓨즈 메모리에서 데이터를 추출하고, 조직들이 보안 조치를 재평가할 것을 권장했습니다.
Hextree는 취약점을 조사하기 위해 고용되었으며, RP2350의 글리치 감지가 예상보다 덜 효과적임을 발견하여 성공적인 공격이 가능하다는 것을 밝혔습니다. 라즈베리 파이 팀은 사이드 채널 공격에 저항할 수 있도록 설계된 AES의 RP2350 구현에 초점을 맞춘 또 다른 대회를 개최할 계획이며, 자세한 내용은 곧 발표될 예정입니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.