Handheld: Nintendos Game & Watch bereits gehackt

Seit dem 13. November 2020 kann Nintendos kleine Handheld-Spielekonsole Game & Watch gekauft werden. Kaum sind erste Exemplare an Kunden ausgeliefert, existieren anscheinend bereits Hacks für die Hardware. Der Sicherheitsforscher Thomas Roth hat den Prozess in einem Youtube-Video veröffentlicht. Seitdem zeigt er auf Twitter immer wieder neue Titel auf dem Gerät: etwa The Legend of Zelda, Super Mario Bros. oder Contra.

Um den Game & Watch für solche und andere Titel freizuschalten, muss das Gerät allerdings geöffnet werden. Der USB-C-Port ist nicht für Datenübertagung an das SoC angebunden und dient nur dem Laden des Akkus, der übrigens identisch zu den Joy-Con-Akkus der Nintendo Switch ist. Der Hack selbst kann über den Debug-Port auf dem Mainboard durchgeführt werden. Dieser ist über fünf Pins erreichbar und eigentlich für Reparaturmaßnahmen vorgesehen.

Zusatztools notwendig

Per Debug-Probe konnte Roth auslesen und feststellen, dass der Port allerdings in einem geschützten Modus aktiviert und ein direktes Auslesen des Chips nicht möglich ist. Ein Umweg führt über den auslesbaren Flash-Speicher des Game & Watch. Auf diesem scheint die vorinstallierte NES-ROM von Super Mario Bros. an der immer gleichen Adresszeile zu liegen. Auch der Framebuffer für den grafischen Output ist an einer festen Stelle im Flash abgelegt. Das hat der Bastler mittels RAM-Dump herausgefunden, den er mit dem Hexcode der NES-ROM von Super Mario Bros. abgeglichen hat.

NINTENDO Game & Watch: Super Mario Bros.

Roth hatte nach mehreren Versuchen festgestellt, dass der Game & Watch die Inhalte an den festen Adresszeilen nicht verifiziert. Indem er einige Bytes der ROM manuell geändert und anschließend mit dem Inhalt des Arbeitsspeichers verglichen hat, konnte er zudem eine Byte-für-Byte- statt eine blockweise Verschlüsselung feststellen. Mittels XOR-Verknüpfung des in Klartext vorliegenden RAM-Dump und des verschlüsselten Textes aus dem Flash-Dump lässt sich der Schlüssel extrahieren.

Mit Hilfe dieses Schlüssels konnte Roth anschließend eigene Flash-Images für den Game & Watch erstellen und in den Speicher des Geräts laden. Neben den bereits genannten Spielen konnte er so etwa den Shooter-Klassiker Doom von 1993 auf dem Gerät zum Laufen bekommen. In einem Video zeigt Roth seine Ergebnisse. Über diese Methode kann immer nur ein Titel auf dem Gerät laufen. Um das Spiel zu wechseln, müssen neue Spieleimages erstellt werden. Entsprechende Python-Scripts stellt Roth auf Github zur Verfügung.