[PS5] Interview de Flat_z suite au dump du PS5 bootrom PSP (Platform Security Processor)

Playstation 3 / 4

Le développeur Flat_z hier a répondu à de nombreuses questions sur le discord PS5 sur l'image qu'il a proposé sur Twitter, faisons le tour de ce qu'il a découvert.

Nous vous proposons l'interview croisée, un résumé de questions réponses que Flat_Z a tenu sur le discord PS5.

Interview croisée :

Q : Cette image " ROM : FFF0000 " c'est ce que l'on pense, le dump du PSP (Platform Security Processor) ?

R (Flat_z) : oui, c'est un dump du Platform Security Processor de la PS5.

Q : Il y a beaucoup de clés importantes, il y a d'autres clés mineures dans le système

R : Je ne publierai jamais d'informations confidentielles mais je veux essayer de l'implémenter (et divulguer si ça marche) des méthodes ou des trucs comme les fpkgs, comme je l'ai déjà fait pour la PS4.

Q : Il y a des clés seeds dedans ?

R : Je n'ai aucune idée, je viens de recevoir le dump il y a quelques minutes, mais ce que je sais c'est que le psp est la racine de la confiance, il contient le code du boot system, les key seeds, etc.

Q : Obtenu à partir d'un logiciel comme fail0verflow ?

R: Oui, c'est vrai

Q : Vous en avez parlé à fail0verflow ?

R : Oui, nous avons comparé nos dumps aujourd'hui

Q : Le partagerez-vous avec d'autres personnes pour qu'elles puissent également travailler dessus ? Je suppose que non.

R : L'idée est d'obtenir des clés pour l'IPL, puis des clés pour le SSD, de sorte que je puisse décrypter mon IPL à partir du dump du SSD et faire de la rétro-ingénierie dessus afin d'obtenir des clés, etc.

Q : A quel firmware cela serait-il lié, ou parce que c'est une puce, c'est pertinent pour n'importe quel firmware qui a déjà un accès au kernel ? Ou bien vous concentrez-vous sur les versions 2.30-2.50 ?

R : il s'agit plus de la révision du matériel que de la version du logiciel. Je ne sais pas si ou quand ils ont corrigé ce problème, mais d'habitude ils changent les clés entre les révisions de matériel, donc je suppose que les dumps de bootrom des révisions plus récentes ont d'autres clés.

Le bug utilisé est d'ordre logiciel, aucun matériel hardware n'a été utilisé, je suis sur que cela fonctionne sur les firmware 2.xx, je suis actuellement sur firmware 2.50. Il dit qu'il a acheté sa PS5 en 2021, certainement un modèle de référence 1015 mais cela n'a que peu d'importance finalement.

Q : C'est ce que j'essaie de comprendre. Il n'y a pas d'autre solution que de faire appel à l'ATM, car il s'agit d'une ATM spécifique au matériel (très probablement).

R : Le but de cela est d'avoir des clés pour tous les firmwares (clés de tout sauf de l'IPL), l'objectif est aussi de fournir le même niveau de possibilité pour les fpkg.

Q : Si cela est rendu public, cela pourrait-il signifier l'arrivée d'un CFW (custom firmware) ? Ou parce que Sony semble avoir tellement de puces qui ont besoin de se serrer la main, non ?

R : Je sais pas si l'accès au bootrom pour certains appareils peut nécessairement signifier CFW ,et je ne sais pas si c'est le cas pour le ps5.

Le problème, c'est qu'il n'y a pas d'autre solution que d'inverser le processus, il faudrait que d'autres vulnérabilités soient trouvées pour exploiter le bootrom.

Q : Tous les bugs sont répertoriés sous https://www.psdevwik...Vulnerabilities il vient de là ?

R : Aucun de cette liste

Q : Le ou les bugs seront un jour dévoilé(s) ?

R : Bon, fail0verflow a été le premier à le faire, c'est donc à cette Team de décider de le publier ou non. Je pense que j'ai juste trouvé leur méthode.

Q : Quels modèles sont affectés, il faudra du matériel ?

R : J'ai un teskit et une PS5 Retail sous le dernier firmware également, cependant pour le dump, je reste sur le fimware 2.50 car j'ai tout implémenté pour elle, mais peut-être que je commencerai à travailler sur des firmwares plus récents à l'avenir, et j'ai aussi des trucs pour les 1.xx

Q : Cela peut être porté sur des firmwares plus récents ?

R : Qui peut le savoir. nous ne savons pas s'ils ont corrigé les bugs, ou quand ils l'ont fait. Mais avec les firmwares ou les révisions plus récentes ils ont probablement fait quelque chose.

Q : Un CFW (Custom Firmware) ?

R : Afin de permetre l'exécution de code, la ps4 n'a pas de firmware personnalisé, c'est juste des mods en temps réel, c'est la même chose ici.

Q : Des plans pour SAMU (sur PS4), et donc un CFW sur PS4 ?

R : Non, j'ai arrêté de travailler sur la ps4 il y a longtemps, j'ai tout ce qu'il y a dessus.

Je suppose que les fpkgs peuvent être mis en oeuvre sur PS5 sans Hyperviseur, mais je n'en suis pas sûr, on ne peut pas savoir tant qu'on n'a pas essayé de l'implémenter.

Q : On parle d'une solution un peu comme Okage ?

R : Non, mais j'ai utilisé sur PS5 un jeu PS4, tout simplement parce que la ps4 est meilleure parce qu'il n'y a pas de xom userland.

Le système fonctionne aussi sur la ps4, il est donc facile à déboguer. Je charge une sauvegarde corrompue qui exploite le jeu.

Specter rajoute à ce sujet : Le cryptage des sauvegardes et l'encrytage et signature sont en partie nécessaires, de même que le fait qu'il faille un très bon bug, car les bugs de type analyseur sont difficiles à exploiter dans les environnements ASLR.

Flatz quand à lui rajoute que l'exploitation de l'hyperviseur peut se faire directement à partir de la sauvegarde, mais de rajouter qu'il s'agit d'un jeu original sur disque PS4.

Q : Un jeu PSN ça marcherait ?

R : Je ne veux pas utiliser les jeux PSN car ils nécessitent des act.dat ... (entendez par là des licences d'activation), de plus un jeu sur disque pourrait éventuellement marcher sur tous les firmwares si les offsets sont adaptés.

Q : Il y a aussi un point d'entrée pour l'emu de la ps4. Nous ne sommes pas encore sûrs d'avoir besoin d'un exploit kernel pour ça, mais si Flatz n'en a pas besoin pour leur hack PSP, ça devrait être bon.

R : Vous pouvez utiliser tout le reste, je suppose, Sony peut juste corriger les bugs importants comme dans le kernel/ Hyperviseur, les exploits dans les jeux sont hors de portée, et ceux dans les webkits.

Voilà c'est tout pour le moment, en espérant que cette interview croisée vous a plu, et que nous en sachions davantage d'ici quelques jours ou semaines.

Vendredi 28 Juillet 2023, 15:02 par tralala

Source : LS et Discord

tripod731

28 juillet 2023, 15:40

Zdorovo, Molodiec!!!

Natacha

28 juillet 2023, 17:05

impressionnant tout de même ! Ca promet du lourd dans les prochaines semaines .

Pitchounet

28 juillet 2023, 17:49

L'original est où?

tralala

28 juillet 2023, 18:15

Il n'y a pas d'original, c'est une compilation de toutes les questions réponses du discord

.

Ou l'original c'est ici ^^ . (1h pour faire la news ^^)

Omnivers

28 juillet 2023, 18:26

C'est quoi un Hyperviseur?

Qui peut me faire un résumé de l'accomplissement de ce qu'il a fait en langage Call Of Duty

markus95

28 juillet 2023, 20:01

C'est quoi un Hyperviseur?

Qui peut me faire un résumé de l'accomplissement de ce qu'il a fait en langage Call Of Duty

En tres tres gros, L hyperviseur est comme une boîte fermé où toute les opérations et vérifications se font en interne...
Donc sans hack de cette boîte pas d accès au homebrews ni au backup...

Il a donc hacké cette boîte, en passant par une sauvegarde d un jeu PS4 modifié (comment on sait pas...)

Grâce à ce hack il a récupéré et decrypté cette boîte, il a donc maintenant accès à tous ce qu il y a dedans... les clefs de chiffrement, déchiffrement, etc etc...

C est comme la boîte de pandore, il a un contrôle total sur la ps5 maintenant...

Pitchounet

28 juillet 2023, 23:36

Il n'y a pas d'original, c'est une compilation de toutes les questions réponses du discord .

Ou l'original c'est ici ^^ . (1h pour faire la news ^^)

D'accord mais donc tu as traduit à partir de l'anglais c'est ça?

Pitchounet

28 juillet 2023, 23:38

C'est quoi un Hyperviseur?

Qui peut me faire un résumé de l'accomplissement de ce qu'il a fait en langage Call Of Duty

En tres tres gros, L hyperviseur est comme une boîte fermé où toute les opérations et vérifications se font en interne...
Donc sans hack de cette boîte pas d accès au homebrews ni au backup...

Il a donc hacké cette boîte, en passant par une sauvegarde d un jeu PS4 modifié (comment on sait pas...)

Grâce à ce hack il a récupéré et decrypté cette boîte, il a donc maintenant accès à tous ce qu il y a dedans... les clefs de chiffrement, déchiffrement, etc etc...

C est comme la boîte de pandore, il a un contrôle total sur la ps5 maintenant...

Mais qui ne servira qu'à lui lol.

n'empêche lui et la team fail0verflow c'est des killers.

tikilou

29 juillet 2023, 00:19

Mais qui ne servira qu'à lui lol.

n'empêche lui et la team fail0verflow c'est des killers.

LA règle de base pour la recherche sur les exploits sur consoles de jeux, c'est d'avoir toujours un hack complet non publié publiquement, conservé en privé.
Si ce n'est pas publié, ce n'est pas corrigé, ce qui facilite énormément la recherche de nouvelles failles sur tous les firmwares, y compris ceux publiés par Sony à chaque fois.

Un hacker aura toujours plus de difficulté à faire ses recherches et tout déverrouiller si tout est cloisonné par défaut, et beaucoup plus de facilité si la boîte de pandore est déjà ouverte.
Rien que pour le débogage et l'accès réseau, empêcher l'hyperviseur de bloquer/rebooter la console si telle ou telle essai ne fonctionne pas, c'est un énorme gain de temps assuré.
En outre, ça permet d'ouvrir toutes les portes fermées et d'aller chercher davantage de pistes d'exploits.

yopadato

29 juillet 2023, 06:03

Mais qui ne servira qu'à lui lol.
n'empêche lui et la team fail0verflow c'est des killers.

LA règle de base pour la recherche sur les exploits sur consoles de jeux, c'est d'avoir toujours un hack complet non publié publiquement, conservé en privé.
Si ce n'est pas publié, ce n'est pas corrigé, ce qui facilite énormément la recherche de nouvelles failles sur tous les firmwares, y compris ceux publiés par Sony à chaque fois.
Un hacker aura toujours plus de difficulté à faire ses recherches et tout déverrouiller si tout est cloisonné par défaut, et beaucoup plus de facilité si la boîte de pandore est déjà ouverte.
Rien que pour le débogage et l'accès réseau, empêcher l'hyperviseur de bloquer/rebooter la console si telle ou telle essai ne fonctionne pas, c'est un énorme gain de temps assuré.
En outre, ça permet d'ouvrir toutes les portes fermées et d'aller chercher davantage de pistes d'exploits.

Ouais, enfin il va surement faire comme les autres, pour gratter un petit billet il finira par révéler ses découvertes à Sony, et tout ce qui peut être corrigé le sera.

BlackBrain

29 juillet 2023, 11:18

Jusque là, que je sache, il n'a pas revendu les failles qu'il a découvert.

De plus, dans l'interview, on voit bien qu'il attribue ce hack à la team FailOverFlow et qu'il n'a fait que (re)découvrir leur méthode.

Je le vois mal revendre une faille qu'il ne considère même pas être la sienne.

yopadato

29 juillet 2023, 17:49

Jusque là, que je sache, il n'a pas revendu les failles qu'il a découvert.

De plus, dans l'interview, on voit bien qu'il attribue ce hack à la team FailOverFlow et qu'il n'a fait que (re)découvrir leur méthode.

Je le vois mal revendre une faille qu'il ne considère même pas être la sienne.

Pour l'instant oui, mais s'il peut aussi gratter un peu de pognon en faisant le toutou pour Sony, il le fera, si la suite de son travail intéresse assez Sony en tout cas. Désolé pour le ton un peu pessimiste, mais dans le hack console ils font tous ça maintenant.

J'ai commencé la modification de console avec la PS1, et j'ai suivi toutes les découvertes qui ont amené au hack de la première Xbox, je peux dire sans sourciller que les devs/électroniciens qui publiaient leurs découvertes avaient une toute autre mentalité que ce qu'on voit dans le hack console aujourd'hui.

Dnijbox974

29 juillet 2023, 20:37

Tout comme yopadato j'ai commencé le hack avec la ps1 et je n'ai jamais arrêté. Je confirme complètement ce qu'il dit sur la nouvelle mentalité des hackers. La faute à l'inflation ???

markus95

29 juillet 2023, 21:39

Tout comme yopadato j'ai commencé le hack avec la ps1 et je n'ai jamais arrêté. Je confirme complètement ce qu'il dit sur la nouvelle mentalité des hackers. La faute à l'inflation ???

Ça fait un moment que le hack n est plus fait pour la communauté, mais pour l égo...

"Moi, monsieur X, j ai hacké et je le dis haut et fort, mais je publie rien..."

Juste pour être reconnu, et montrer qui a la plus grosse...

(Je ne parle pas de Flat_z ici, car lui publi d une façon ou d une autre ses trouvailles, afin que la communauté en profite...)

Si les mecs étaient réellement pour le hack communautaire (comme à l epoque), une simple publication en anonyme et c est terminé..., mais non il faut se montrer aujourd'hui, avoir de la reconnaissance et montrer qui a la plus grosse...

Cliquer ici pour continuer sur le forum