PS2 Emulator: Exploit in PS4 und PS5 soll nicht behebbar sein
Der Sicherheitsforscher und langjährige Konsolenhacker mit dem Pseudonym Cturt beschreibt in einem ausführlichen Blogeintrag(öffnet im neuen Fenster) eine Sicherheitslücke in der Firmware der Playstation 4 und Playstation 5, die "grundsätzlich" nicht behebbar sein dürfte. Die Lücke ist Sony demnach seit etwa einem Jahr bekannt und befindet sich in dem integrierten Emulator für Spiele der Playstation 2.
Die Wahl auf den PS2-Emulator fiel Cturt zufolge, weil die Software eine der letzten verbliebenen Techniken in den modernen Systemen der Konsolen ist, die noch über eine JIT-Umgebung verfügt. Diese ist aus Sicherheitsgründen etwa im Webkit-basierten Browser oder auch dem Bluray-Player bereits deaktiviert. Aus Gründen der Abwärtskompatibilität habe das aber eben in dem Emulator nicht umgesetzt werden können, vermutet Cturt.
Ein Angriff auf JIT-Compiler und Code ist deshalb von Bedeutung, da dies direkt zur Code-Ausführung genutzt werden könnte. Ein Kernel-Bug oder ähnliches seien dafür nicht notwendig. Hinzu kommt laut der Erklärung, dass für einen Exploit genutzte PS2-Spiele von Sony nicht einfach zurückgezogen werden können und damit dauerhaft verfügbar sind. Mit der Verfügbarkeit des PS2-Emulator samt JIT-Umgebung unterlaufe Sony also sein eigenes Sicherheitsmodell. Daran werde sich auch nichts ändern, vermutet Cturt, weshalb die Sicherheitslücke eben nicht behebbar sei.
Eine Reihe Speicherlücken
Um überhaupt mit dem Angriff beginnen zu können, braucht es zudem einen bekannten PS2-Exploit. Dieser kann entweder über einen speziell manipulierten Speicherstand oder auch per Tastendruck erreicht werden, je nach Spiel. Das native Format der PS2-Memory-Cards kann von den neuen Konsolen aber nicht direkt gelesen werden, so dass dieses erst mit einer gehackten PS4 verschlüsselt und signiert werden müsste.
Darüber hinaus gibt es auch wenige PS2-Titel, die als PS4-Disc physisch erschienen sind. Cturt nutzt deshalb einen bekannten Stack-Buffer-Overflow in dem Spiel Okage Shadow King als Einstiegspunkt. Möglich wird dieser schlicht durch einen sehr langen, selbstgewählten Spielernamen.
Es folgt eine detaillierte Reverse-Engineering-Beschreibung des PS2-Emulators samt weiterer Overflows, Speicherlecks oder auch einer Möglichkeit, den Kontrollfluss zu manipulieren. Letztlich führt all das zusammengenommen zu einem erfolgten ROP-Angriff, um aus dem Kontext des PS2-Emulators auszubrechen. Cturt nutzt das, um mit Hilfe der Funktionen des Emulators das Abbild eines weiteren Spiels über eine Internetverbindung auf die Konsole zu laden und letztlich zu starten.
Langer Weg zur Code-Ausführung
Cturt schreibt dazu: "PS2-Piraterie ist eine lustige Implikation, vor allem, dass ich sie offenlegen kann, obwohl es keinen Patch gibt, aber mein Hauptziel war es, native Homebrew-Anwendungen zum Laufen zu bringen." Der bisher beschriebene Weg sei aber eben nur ein Teil des Ziels der Code-Ausführung, heißt es.
Der nächste Teil ist ein direkter Angriff auf den Compiler-Prozess der JIT-Umgebung selbst, der wohl auch erfolgreich umgesetzt werden konnte. Der Blogeintrag dazu ist aber noch nicht verfügbar, soll jedoch nachgeliefert werden.
Dem Magazin Arstechnica sagte Cturt(öffnet im neuen Fenster) , dass mit der erfolgreichen Code-Ausführung über den beschriebenen Bug komplexe Programme ausgeführt werden könnten. Dazu gehörten etwa weitere, bisher nicht offiziell verfügbare Emulatoren oder gar Schwarzkopien von PS4-Spielen. Möglicherweise könnten damit auch der PS5-Hypervisor und weitere Sicherheitskomponenten angegriffen werden.