Obtenir un accès root à l’intérieur de l’un des plats de Starlink nécessite quelques éléments difficiles à obtenir : une compréhension approfondie des circuits de la carte, du matériel et des compétences de dumping eMMC, une compréhension du logiciel de chargeur de démarrage et une carte PCB personnalisée. Mais les chercheurs ont prouvé que cela pouvait être fait.

Dans leur conférence « Glitched on Earth by Humans: A Black-Box Security Evaluation of the SpaceX Starlink User Terminal », des chercheurs de la KU Leuven en Belgique ont détaillé à Black Hat 2022 plus tôt cette année comment ils ont pu exécuter du code arbitraire sur un utilisateur Starlink Terminal (c’est-à-dire une carte parabolique) utilisant une puce modulaire personnalisée via une injection de défaut de tension. La conférence a eu lieu en août, mais les diapositives et le référentiel des chercheurs ont récemment fait le tour.

Il n’y a pas de menace immédiate et la vulnérabilité est à la fois révélée et limitée. Alors que le contournement de la vérification des signatures a permis aux chercheurs « d’explorer davantage le terminal utilisateur Starlink et le côté réseau du système », les diapositives de la conférence Black Hat notent que Starlink est « un produit bien conçu (du point de vue de la sécurité) ». Obtenir une coquille de racine était difficile, et cela n’a pas ouvert de mouvement latéral ou d’escalade évident. Mais mettre à jour le firmware et réutiliser les plats Starlink à d’autres fins ? Peut-être.

Pourtant, la sécurité des satellites est loin d’être purement théorique. Le fournisseur de satellites Viasat a vu des milliers de modems mis hors ligne par le logiciel malveillant AcidRain, poussé par ce que la plupart considèrent comme des acteurs étatiques russes. Et tandis que les chercheurs de la KU Leuven notent à quel point il serait difficile et délicat de connecter leur puce personnalisée à un terminal Starlink dans la nature, de nombreux terminaux Starlink sont placés dans les endroits les plus reculés. Cela vous donne un peu plus de temps pour démonter une unité et effectuer les plus de 20 connexions de soudure à pointe fine détaillées dans les images de diapositives.

Il n’est pas facile de résumer les nombreuses techniques et disciplines utilisées dans le hack matériel des chercheurs, mais voici une tentative. Après une analyse de haut niveau de la carte, les chercheurs ont localisé des points de test pour lire le stockage eMMC de la carte. En vidant le firmware pour analyse, ils ont trouvé un endroit où l’introduction d’une tension errante dans le système central sur une puce (SoC) pourrait modifier une variable importante lors du démarrage : « connexion au développement activée : oui ». C’est lent, cela ne fonctionne qu’occasionnellement et la falsification de la tension peut provoquer de nombreuses autres erreurs, mais cela a fonctionné.

Le modchip utilisé par les chercheurs est centré autour d’un microcontrôleur RaspberryPi RP2040. Contrairement à la plupart des matériels Raspberry Pi, vous pouvez toujours apparemment commander et recevoir la puce principale Pi, si vous vous lancez dans un tel voyage. Vous pouvez en savoir plus sur le processus de vidage du micrologiciel dans le billet de blog des chercheurs.