นักวิจัยเผยช่องโหว่บน Nintendo Switch ที่อาจจะไม่สามารถแก้ไขได้

นักวิจัยได้เผยข้อมูลการใช้งานช่องโหว่บนชิปที่มาพร้อมกับอุปกรณ์ Nintendo Switch หรือ ชิปประมวลผล Tegra จาก Nvidia โดยโปรเจ็คที่เปิดเผยออกมานี้ใช้ชื่อว่า ‘Fusée Gelée’ ซึ่งเป็นการแฮ็กผ่านการทำ Cold-boot (การบูตโดยการกดปุ่มที่สวิตซ์เครื่อง) เพื่อทำให้เจ้าของเครื่องสามารถลัดผ่านการป้องกันเข้าไปรันโค้ดที่ปรับแต่งขึ้นมาบนอุปกรณ์ได้ ดังนั้นมันส่งผลให้เจ้าของเครื่องสามารถรันเกมที่ถูกปรับแต่งขึ้นมาหรือนำข้อมูลที่เซฟออกมาจากเครื่องได้ (เหมือนทำ Jailbreak อุปกรณ์นั่นเอง) ซึ่งปกติไม่สามารถทำได้

Credit: Nintendo

สาเหตุที่ไม่สามารถแพตช์ได้และวิธีการใช้งานช่องโหว่

ช่องโหว่ที่เกิดขึ้นนั้นเกิดจาก Buffer Overflow ธรรมดาๆ แต่จุดที่เกิดนั้นดันไปอยู่บนส่วนประกอบในการบูต Rom ซึ่งอยู่ในชิป Nvidia Tegra ที่ใช้ควบคุมกิจวัตรการบูตของอุปกรณ์นั่นเอง ซึ่งเป็นระดับฮาร์ดแวร์ที่ออกมาตั้งแต่โรงงาน ทางเดียวในการแก้ไขคือต้องส่งอุปกรณ์กลับไปแพตช์ โดยมีความเป็นไปได้น้อยมากที่ Nintendo ทำเช่นนั้นกับผลิตภัณฑ์หลายล้านตัว

การใช้งานช่องโหว่ทำได้ง่ายมากเพียงแค่ทำให้ Switch รีบูตเป็นโหมด USB Recovery (มีตัวอย่างการเข้าโหมดนี้บน YouTube) และเชื่อมต่อ USB เพื่อรันสคิร์ปต์ Python เท่านั้นเอง โดย Katerine Temkin แฮ็กเกอร์ผู้คนพบช่องโหว่ได้เผยแพร่รายละเอียดเกี่ยวกับโปรเจ็ค ‘Fusée Gelée‘ ไว้บน GitHub ซึ่งคาดว่าจะเพิ่มรายละเอียดเชิงลึกและออกเป็นเครื่องมือ Jailbreak ที่ชื่อ ‘Atmosphère‘ มาในกลางเดือนมิถุนายนนี้

ที่มา : https://www.bleepingcomputer.com/news/hardware/researcher-discloses-unpatchable-nintendo-switch-exploit/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

UiPath ขอเชิญร่วม Meeting ในหัวข้อ Discovering the process for Automation 3 ก.ค. 2019

UiPath ขอเชิญผู้ที่สนใจเทคโนโลยี Robotic Process Automation (RPA) ทุกท่าน เข้าร่วมงาน Meeting ฟรี Discovering the process for Automation เพื่อเรียนรู้ว่าปัจจุบันนี้กระบวนการใดบ้างที่นิยมแปลงให้เป็นอัตโนมัติด้วย RPA ในวันที่ 3 ก.ค. 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้