Защититься от пиратов: как мы исследовали устройство SEGGER
Наши специалисты обнаружили бреши, позволяющие обойти некоторые механизмы лицензирования
О кейсе
Клиент
Производитель отладчиков микроконтроллеров
Задача
Найти уязвимости в механизмах защиты прошивок
Результат
Обнаружили две архитектурные ошибки в прошивке
Услуга BI.ZONE
Анализ защищенности программно‑аппаратного комплекса
Это интересно
Компания выпускает флагманские устройства J‑Link с 2004 года
Ситуация
Производители устройств могут зарабатывать на своих продуктах несколькими способами. Один из них — продажа аппаратов с разными характеристиками: дорогие будут мощнее бюджетных. Следующий шаг — выпуск лицензий, определяющих число функций.
Обход механизмов защиты в прошивках позволяет разблокировать даже неоплаченные возможности устройств. Однако это прямое нарушение авторских прав — пиратство, от которого производитель несет убытки.
Отладчик микроконтроллеров J‑Link, который компания SEGGER выпускает с 2004 года, сочетает вышеописанные модели монетизации. Как утверждает производитель, устройство стало отраслевым стандартом для разработки под ARM
Решение
Мы проанализировали защищенность отладчика J‑Link EDU — младшей модели с урезанным набором лицензий, предназначенной для некоммерческого использования. Ее аппаратная начинка совпадает c J‑Link BASE, оснащенной основными функциями, и J‑Link PLUS. Отличает их лишь набор лицензий, возможность технической поддержки и стоимость: версия PLUS в 10 раз дороже EDU
Результат
В рамках исследования мы обнаружили две ошибки в прошивке. Первая позволяла обходить систему лицензирования и повышать уровень устройства с EDU до PLUS. Вторая давала злоумышленникам возможность выполнять на нем произвольный код.
Мы сообщили SEGGER о недостатках безопасности, и через 2 недели производитель их частично исправил. Частично — потому, что устройства уже находятся на руках у пользователей, а выпуск патча вызовет проблемы с обратной совместимостью
Отзыв клиента
Исследователи из лаборатории BI.ZONE продемонстрировали этичность в своей работе и открытость в обсуждении нее с нами. Мы впечатлены тем, что они проделали, а также глубиной их анализа
Обсудите с нашими экспертами, как обеспечить надежную защиту вашей компании
Другие проекты