Raspberry Pi'nin en yeni mikrodenetleyicisi RP2350'nin güvenli önyükleme mekanizmasını hedef alan "RP2350 Hacking Challenge" etkinliği, çipin güvenlik mimarisindeki zayıflıkları ortaya çıkardı. Ağustos 2024'te piyasaya sürülen RP2350 için düzenlenen bu halka açık yarışma, Ocak 2025'te sona erdi ve farklı araştırmacılar tarafından beş heyecan verici saldırının keşfedilmesine yol açtı. Bu sunum, RP2350'nin güvenlik mimarisine derinlemesine bir bakış sunarak keşfedilen çeşitli saldırı yöntemlerini detaylandırıyor. Özellikle, çipin hata dedektörleri ve yedeklilik yardımcı işlemcisi gibi aktif güvenlik özelliklerine rağmen, bu tür saldırıların nasıl başarılı olabildiği üzerinde duruluyor.
Konuşmacılar, kendi buldukları iki önemli saldırıyı ayrıntılı olarak ele alıyor. İlk olarak, hata enjeksiyonunun doğrulanmamış bir önyükleme vektörünü nasıl zorlayarak güvenli önyükleme sürecini tamamen atlayabildiği açıklanıyor. İkinci olarak, "çift glitch" adı verilen bir tekniğin, RP2350'nin tek kullanımlık programlanabilir belleğinde depolanan hassas sırların doğrudan okunmasını nasıl mümkün kıldığı gösteriliyor. Ayrıca, lazer hata enjeksiyonu ve önyükleme ROM'u yürütme sırasındaki sıfırlama glitch'i gibi diğer başarılı saldırı yöntemleri de tartışılıyor.
Son olarak, bu saldırıların çipin yeni revizyonunda nasıl hafifletildiği ve RP2350 güvenlik yarışmasından çıkarılan dersler paylaşılıyor. Raspberry Pi'nin bulgular konusunda şeffaf olması ve araştırmacılarla işbirliği yapması, açık bir güvenlik ekosisteminin önemini vurguluyor. Bu sunum, çip tasarımcılarından hobi meraklılarına kadar herkes için değerli bilgiler sunarak şeffaflık yoluyla güvenliğin neden harika olduğunu gözler önüne seriyor.
RP2350 mikrodenetleyicisinin güvenli önyükleme mekanizmasındaki zayıflıkların hata enjeksiyonu ve çift glitch gibi tekniklerle nasıl aşılabileceğini ve açık güvenlik işbirliğinin önemini ortaya koyuyor.