Hardware Hacking: Mod-Chip knackt Starlink-Terminals
Wie genau funktionieren eigentlich Starlinks Satellitenterminals? Die Frage stellte sich Lennert Wouters von der KU Leuven in Belgien. Um sie zu beantworten, wollte er sich die Empfangsantenne genauer ansehen - was sich als recht kompliziert herausstellte. Um den Prozess zu vereinfachen, entwarf Wouters eine Platine, die in das Starlink-Terminal eingelötet wird, den Schaltplan veröffentlichte er(öffnet im neuen Fenster) .
Der Aufwand ist erforderlich, da das Terminal, so sagte Wouters bei einem Vortrag auf der Sicherheitskonferenz Defcon 2022(öffnet im neuen Fenster) , "vom Security-Standpunkt gut designed" sei. So ist der gesamte Boot-Prozess über kryptografische Signaturen abgesichert. Zwar kann der eMMC-Speicher, in dem sich die vom Bootloader uBoot geladenen Abbilder befinden, neu beschrieben werden. Allerdings müssen Bootloader und Linux von SpaceX signiert werden. Ohne gültige Signatur wird der Boot-Prozess beendet.
Hier setzte Wouters an, nachdem er feststellte, dass einfachere Zugriffsmethoden, etwa über eine serielle Schnittstelle, deaktiviert sind. Sein Ziel: Ein eigenes Linux-Abbild einspielen, um Root-Zugang zum Terminal zu bekommen und die serielle Schittstelle zu aktivieren. So will Wouters das Terminal genauer untersuchen und herausfinden, wie genau Starlink funkioniert.
Den Prozessor gezielt stören
Um nicht signierte Software in das von Starlink entwickelte System on Chip (SoC) mit vier ARM-Kernen zu bringen, bediente sich Wouters eines bekannten Tricks: dem sogenannten Voltage Glitching(öffnet im neuen Fenster) . Dabei wird die Stromversorgung des SoC kurzfristig unterbrochen. Ziel ist es, die Versorgungsspannung so weit abzusenken, dass in den Prozessorkernen Fehler auftreten, das SoC aber noch weiter arbeitet. Sinkt die Spannung zu sehr, würde es durch integrierte Elektronik abgeschaltet.
Die Kunst beim Voltage Glitching ist es, den richtigen Zeitpunkt zum Abschalten der Versorgungsspannung zu treffen - und sie rechtzeitig wieder einzuschalten. Das testete Wouters laut Defcon-Vortrag zuerst mit einem speziellen Glitching-Tool namens ChipWhisperer-Lite. Damit gelang es ihm, den Prozessor so zu stören, dass er ein unsigniertes Bootloader-Abbild für korrekt signiert hielt.
Da dieser Aufbau recht unhandlich ist, entwarf er anschließend den Mod-Chip, eine Platine, die sich auf das Mainboard des Starlink-Terminals auflöten lässt. Ein RP2040 kontrolliert über mehrere Mosfets den Glitching-Prozess.
Auch wenn Schaltplan und Code öffentlich sind: Die Parameter zum Glitchen des von STMicro gefertigten SoC müssen Interessierte selbst ausprobieren. Allerdings dokumentiert Wouters, anhand welcher Signale er den passenden Zeitpunkt erkennt. In einem Blog-Eintrag(öffnet im neuen Fenster) gibt er zudem Hinweise, was sich Interessantes herausfinden lässt: etwa dass SpaceX mittels Geofencing Entwicklerhardware außerhalb festgelegter Bereiche deaktiviert. Dennoch warnt er deutlich, dass seine Modifikation Terminals im schlimmsten Fall zerstören kann - wer nicht genau weiß, was er tut, sollte den Mod-Chip lieber nicht ausprobieren.