知名的游戲機(jī)黑客 CTurt近日炮轟了PS4和PS5游戲機(jī)中一個(gè)“實(shí)際上無法修補(bǔ)”的漏洞，他詳細(xì)說明了一種概念驗(yàn)證方法（https://www.youtube.com/watch?v=GIl1mR0HLnc），這種方法允許在索尼游戲機(jī)上安裝任意的自制應(yīng)用程序。

CTurt表示，一年前他通過漏洞懸賞計(jì)劃向索尼披露了他編寫的漏洞利用工具M(jìn)ast1c0re，但看不到索尼發(fā)布補(bǔ)丁的跡象。這種攻擊方法利用了在PS4（和 PS5）上運(yùn)行某些PS2游戲的模擬器所使用的即時(shí)（JIT）編譯中存在的錯(cuò)誤。這種編譯為模擬器提供了特殊權(quán)限，可以在應(yīng)用程序?qū)颖旧韴?zhí)行PS4就緒的代碼（基于原始的S2代碼）前一刻不斷寫入代碼。

如果黑客控制該進(jìn)程的兩端，就可以編寫系統(tǒng)認(rèn)為合法且安全的特權(quán)代碼。CTurt談到PS4網(wǎng)絡(luò)瀏覽器上的一個(gè)此后已修補(bǔ)的JIT漏洞時(shí)說：“由于我們將JIT系統(tǒng)調(diào)用用于預(yù)期用途，這其實(shí)不是漏洞，而是巧妙的花招?！?/p>

趁虛而入

為了控制模擬器，黑客理論上可以利用存在于幾十年前的PS2游戲中任意數(shù)量的已知漏洞。雖然其中一些漏洞只需摁下按鈕即可激活，但大多數(shù)漏洞需要使用一款已知的可被利用的游戲，訪問存儲(chǔ)卡上特殊格式的保存文件，從而導(dǎo)致緩沖區(qū)溢出，進(jìn)而可以訪問原本受保護(hù)的內(nèi)存（多年來類似的漏洞被用于PSP和任天堂3DS黑客攻擊）。

不過這種方法有點(diǎn)受限制，因?yàn)镻S4和PS5無法直接識(shí)別標(biāo)準(zhǔn)的PS2光盤。這意味著任何可被利用的游戲都必須是這種形式：可以通過PSN下載的PS2-on-PS4游戲，或者是通過Limited Run Games等游戲發(fā)行商以與PS4兼容的物理光盤形式發(fā)布的少數(shù)PS2游戲。

將可被利用的PS2保存文件放到PS4上也不是簡(jiǎn)單的過程。CTurt不得不使用已經(jīng)被黑入的PS4，對(duì)修改后的Okage Shadow King保存文件進(jìn)行數(shù)字簽名，讓它可以與他的PSN ID協(xié)同使用。然后CTurt使用系統(tǒng)的USB保存導(dǎo)入功能，將該文件導(dǎo)入到目標(biāo)系統(tǒng)上。

基本工作到位后，CTurt逐步演示了一系列復(fù)雜的緩沖區(qū)及堆棧溢出、存儲(chǔ)器泄漏以及用來控制PS2模擬器的內(nèi)存漏洞利用工具。獲得這種控制權(quán)后，他能夠訪問內(nèi)置加載程序功能，通過本地網(wǎng)絡(luò)傳輸單獨(dú)的PS2 ISO文件，然后告訴模擬器通過虛擬光盤加載該游戲。

雖然將其他PS2游戲加載到模擬器中很好，但CTurt的真正目的是以此作為跳板，進(jìn)而在系統(tǒng)上運(yùn)行任意的自制代碼。

CTurt告訴媒體，黑客仍然需要利用單獨(dú)的（并且可能是可修補(bǔ)的）內(nèi)核漏洞來獲得對(duì)PS4的“全面控制”。但是mast1c0re漏洞利用工具本身應(yīng)該足以運(yùn)行復(fù)雜的程序，包括JIT經(jīng)過優(yōu)化的模擬器，甚至可能一些盜版的商業(yè)PS4游戲。理論上來說，Mast1c0re還可以用作黑入PS5虛擬機(jī)管理程序的跳板，該虛擬機(jī)管理程序控制這款游戲機(jī)上的低級(jí)系統(tǒng)安全。

發(fā)現(xiàn)不了，就修補(bǔ)不了

雖然過去曾出現(xiàn)過PS4自制漏洞利用工具，但索尼一直在竭力發(fā)布固件更新，旨在使這些工具至少有些過時(shí)。但CTurt強(qiáng)調(diào)，索尼幾乎不可能堵住造就mast1c0re的漏洞。這是由于這種可被利用的PS2模擬器版本與市面上每一款PS2-on-PS4游戲打包在一起，而不是作為游戲機(jī)操作系統(tǒng)的核心部分單獨(dú)存儲(chǔ)。

如果是物理PS2-on-PS4光盤，這意味著只要你在播放前拒絕任何在線更新，該漏洞應(yīng)該會(huì)繼續(xù)帶來風(fēng)險(xiǎn)。如果是數(shù)字版本，即使該漏洞后來被修補(bǔ)，也有方法可以使用來自本地服務(wù)器的代理HTTP流量，降級(jí)到存儲(chǔ)的、可被利用的版本。

CTurt表示，嚴(yán)格上來講，它并非完全無法修補(bǔ)——但這款游戲機(jī)就是這么設(shè)計(jì)的，索尼不會(huì)改變它。一旦你擁有可被利用的游戲（數(shù)字版或物理版），索尼就很難從你的游戲機(jī)刪除游戲或修補(bǔ)游戲。

PS2仿真“從根本上有悖于[索尼]自己的安全模型，因?yàn)樗固貦?quán)代碼沒有現(xiàn)成的機(jī)制來修補(bǔ)未來的潛在漏洞”，CTurt寫道。

雖然任天堂從任天堂eShop刪除了可被利用的3DS游戲，試圖盡量減小公開黑客活動(dòng)造成的破壞，但CTurt特別指出，索尼尚未從PSN刪除可被利用的PS2游戲。CTurt還特別指出：“PlayStation在報(bào)道一年后對(duì)我作出的官方回應(yīng)是，他們決定不嘗試修補(bǔ)這條攻擊鏈?！?/p>

這一切都表明mast1c0re漏洞可能會(huì)繼續(xù)存在。雖然目前這只是一種概念驗(yàn)證而已，但PlayStation黑客界似乎將來很可能會(huì)再接再厲0，在開發(fā)PS4和PS5自制代碼方面創(chuàng)造眾多的機(jī)會(huì)。

本文翻譯自：https://arstechnica.com/gaming/2022/09/console-hacker-reveals-ps4-ps5-exploit-that-is-essentially-unpatchable/如若轉(zhuǎn)載，請(qǐng)注明原文地址。