Le piratage des terminaux Starlink a commencé
Pour concevoir le modchip, Wouters a scanné la parabole Starlink et a créé le design pour s’adapter à la carte Starlink existante. Le modchip nécessite d’être soudé au PCB Starlink existant et de le connecter à l’aide de quelques fils. La puce elle-même est composée d’un microcontrôleur Raspberry Pi, d’un stockage flash, de commutateurs électroniques et d’un régulateur de tension. Lors de la création de la carte des terminaux utilisateur, les ingénieurs de Starlink ont imprimé Made on Earth by humans dessus. Le modchip de Wouters se lit comme suit : Glitched on Earth by humans.
Pour accéder au logiciel parabolique, Wouters a utilisé son système personnalisé pour contourner les protections de sécurité en utilisant l’attaque par injection de défaut de tension. Lorsque la parabole Starlink s’allume, elle utilise une série d’étapes de chargeur de démarrage différentes. L’attaque de Wouters exécute le problème contre le premier chargeur de démarrage, connu sous le nom de chargeur de démarrage ROM, qui est gravé sur le système sur puce et ne peut pas être mis à jour. L’attaque déploie ensuite un micrologiciel corrigé sur les chargeurs de démarrage ultérieurs, ce qui lui permet de prendre le contrôle de la parabole.
D’un point de vue de haut niveau, il y a deux choses évidentes que vous pourriez essayer d’attaquer : la vérification de signature ou la vérification de hachage, dit Wouters. Le problème va à l’encontre du processus de vérification de la signature. Normalement, vous voulez éviter les shorts, dit-il. Dans ce cas, nous le faisons exprès.
Initialement, Wouters a tenté de provoquer un bug sur la puce à la fin de son cycle de démarrage lorsque le système d’exploitation Linux est complètement chargé, mais il a finalement trouvé plus facile de provoquer le bug au début du démarrage. Cette méthode était plus fiable, dit Wouters. Pour que le problème fonctionne, dit-il, il a dû arrêter de découpler les condensateurs, qui sont utilisés pour lisser l’alimentation électrique, de fonctionner. Essentiellement, l’attaque désactive les condensateurs de découplage, exécute le problème pour contourner les protections de sécurité, puis active les condensateurs de découplage.
Ce processus permet au chercheur d’exécuter une version corrigée du micrologiciel Starlinks pendant le cycle de démarrage et permet finalement d’accéder à ses systèmes sous-jacents. En réponse à la recherche, dit Wouters, Starlink lui a offert un accès de niveau chercheur au logiciel de l’appareil, bien qu’il ait refusé car il était allé trop loin dans le travail et voulait construire le modchip. (Pendant les tests, il a suspendu le plat modifié à la fenêtre de ce laboratoire de recherche et a utilisé un sac en plastique comme système d’imperméabilisation de fortune.)
Starlink a également publié une mise à jour du firmware, dit Wouters, qui rend l’attaque plus difficile, mais pas impossible, à exécuter. Quiconque souhaitant pénétrer dans le plat de cette manière devrait y consacrer beaucoup de temps et d’efforts. Bien que l’attaque ne soit pas aussi dévastatrice que la possibilité de supprimer les systèmes satellites ou la connectivité, Wouters dit qu’elle peut être utilisée pour en savoir plus sur le fonctionnement du réseau Starlink.
Ce sur quoi je travaille maintenant, c’est la communication avec les serveurs backend, explique Wouters. Bien que les détails de la puce soient disponibles en téléchargement sur Github, Wouters n’a pas l’intention de vendre des puces finies, ni de fournir aux utilisateurs un micrologiciel de terminal utilisateur corrigé ou les détails exacts du problème qu’il a utilisé.