Reprogrammation du Boot1 en vue sur Nspire de production !
Posted: 15 Sep 2012, 21:23Nous avions beaucoup travaillé sur les prototypes TI-Nspire ClickPad, qui étaient des modèles fort intéressants.
D'une part, une toute petite différence matérielle rendait leur puce Flash NOR reprogrammable:
Grâce à cela, nous avions pu reprogrammer le Boot1 contenu dans cette puce, transformant ainsi ces prototypes en modèles de production acceptant les OS publiés par TI.
D'autre part, nous avions remarqué que l'ASIC de ces prototypes ne contenait pas le typage CAS/numérique du modèle.
Grâce à cela, nous avions pu transformer les prototypes TI-Nspire numériques en TI-Nspire CAS.
Il nous semblait évident que sur les modèles de production, l'ASIC n'était probablement pas reprogrammable et que cette deuxième transformation était inapplicable.
Mais toutefois, quelqu'un (qui souhaite apparemment rester anonyme) a suivi très sérieusement nos travaux et a décidé de réaliser l'impossible: rendre les puces NOR des TI-Nspire ClickPad de production reprogrammables en faisant sauter leur protection contre l'écriture!
Même si aucune écriture n'a encore été tentée à notre connaissance, la puce NOR de cette TI-Nspire ClickPad de production modifiée accepte désormais les commandes spéciales (ici, la commande permettant d'obtenir l'identification du fabricant et du modèle, plutôt que le contenu réel de la mémoire à la même adresse), comme le montre un programme Ndless téléchargeable ci-dessous!
Or, le Boot1 est au centre de toutes les sécurités de la gamme TI-Nspire.
C'est lui qui vérifie notamment les sommes de contrôles et signatures RSA du Boot2 et du logiciel de diagnostics avant d'accepter de les lancer.
Être capable de reprogrammer le Boot1 signifie être capable de lancer n'importe quel Boot2 ou logiciel de diagnostics original, modifié ou tiers, et par transitivité n'importe quel OS original, modifié ou tiers.
Le potentiel de cette modification est tout simplement énorme, que l'on se place du côté obscur ou du côté lumineux...
Ceux qui pensent à court terme auront certainement déjà en tête l'installation d'un OS CAS sur une TI-Nspire numérique via la programmation d'un Boot2 modifié ou tiers!![>:]](./images/smilies/devilish.png "Devil")
Mais ceux qui sont un peu plus visionnaires en seront déjà à penser à l'installation d'un OS Linux via par exemple la programmation du lanceur U-Boot que l'on trouvait déjà sur le prototype TI-Phoenix 1.![0:]](./images/smilies/angel.png "Angel")
Notons toutefois que seuls les vieux modèles TI-Nspire ClickPad seraient concernés. A partir des TI-Nspire TouchPad, la puce Flash NOR a été enfermée dans l'ASIC et il est donc impossible d'y accéder pour faire sauter une quelconque protection contre l'écriture.
Informations complémentaires: (fragmentées et incomplètes à ce jour)
archives_voir.php?id=6835
http://www.cemetech.net/scripts/countdo ... h=archives
http://www.omnimaga.org/index.php?topic=13761.msg251081 (point 3)
https://groups.google.com/forum/?fromgr ... QJO45-kXyk (point 3)
D'une part, une toute petite différence matérielle rendait leur puce Flash NOR reprogrammable:
Grâce à cela, nous avions pu reprogrammer le Boot1 contenu dans cette puce, transformant ainsi ces prototypes en modèles de production acceptant les OS publiés par TI.
D'autre part, nous avions remarqué que l'ASIC de ces prototypes ne contenait pas le typage CAS/numérique du modèle.
Grâce à cela, nous avions pu transformer les prototypes TI-Nspire numériques en TI-Nspire CAS.
Il nous semblait évident que sur les modèles de production, l'ASIC n'était probablement pas reprogrammable et que cette deuxième transformation était inapplicable.
Mais toutefois, quelqu'un (qui souhaite apparemment rester anonyme) a suivi très sérieusement nos travaux et a décidé de réaliser l'impossible: rendre les puces NOR des TI-Nspire ClickPad de production reprogrammables en faisant sauter leur protection contre l'écriture!
Même si aucune écriture n'a encore été tentée à notre connaissance, la puce NOR de cette TI-Nspire ClickPad de production modifiée accepte désormais les commandes spéciales (ici, la commande permettant d'obtenir l'identification du fabricant et du modèle, plutôt que le contenu réel de la mémoire à la même adresse), comme le montre un programme Ndless téléchargeable ci-dessous!
Or, le Boot1 est au centre de toutes les sécurités de la gamme TI-Nspire.
C'est lui qui vérifie notamment les sommes de contrôles et signatures RSA du Boot2 et du logiciel de diagnostics avant d'accepter de les lancer.
Être capable de reprogrammer le Boot1 signifie être capable de lancer n'importe quel Boot2 ou logiciel de diagnostics original, modifié ou tiers, et par transitivité n'importe quel OS original, modifié ou tiers.
Le potentiel de cette modification est tout simplement énorme, que l'on se place du côté obscur ou du côté lumineux...
Ceux qui pensent à court terme auront certainement déjà en tête l'installation d'un OS CAS sur une TI-Nspire numérique via la programmation d'un Boot2 modifié ou tiers!
Mais ceux qui sont un peu plus visionnaires en seront déjà à penser à l'installation d'un OS Linux via par exemple la programmation du lanceur U-Boot que l'on trouvait déjà sur le prototype TI-Phoenix 1.
Notons toutefois que seuls les vieux modèles TI-Nspire ClickPad seraient concernés. A partir des TI-Nspire TouchPad, la puce Flash NOR a été enfermée dans l'ASIC et il est donc impossible d'y accéder pour faire sauter une quelconque protection contre l'écriture.
Informations complémentaires: (fragmentées et incomplètes à ce jour)
archives_voir.php?id=6835
http://www.cemetech.net/scripts/countdo ... h=archives
http://www.omnimaga.org/index.php?topic=13761.msg251081 (point 3)
https://groups.google.com/forum/?fromgr ... QJO45-kXyk (point 3)
We've been working a lot on TI-Nspire ClickPad prototypes, which revealed to be very interesting models.
On the one hand, a very small hardware difference made their NOR Flash chip writeable:
Thanks to this, we were able to reprogram the boot1 contained in this chip, turning prototypes into production models accepting the OS published by TI.
On the other hand, we noticed that the prototypes ASIC CAS/non-CAS flag wasn't set.
Thanks to this, we cound turn non-CAS TI-Nspire prototypes into TI-Nspire CAS.
It seemed obvious to us, that on production models, there was probably no way to reprogram the ASIC.
But, somebody (who apparently wants to remain anonymous) followed our work very seriously and decided to do the impossible: make NOR chips rewriteable on production TI-Nspire ClickPad!
Even if no flashing has been attempted yet to our knowledge, this chip NOR from this modified production TI-Nspire ClickPad now accepts special commands (the command for obtaining the manufacturer and model, rather than the real contents of the memory at the same address), as shown by a Ndless program you can download below
The Boot1 is the central piece in TI-Nspire models security.
It's the one to check Boot2 and diags checksums and RSA signatures before launching them or not.
Being able to reprogram the Boot1 means being able to run any original, modified or 3rd party diagnostic or boot2 image!
Those who think in the short term certainly have in mind installing a CAS OS on a non-CAS TI-Nspire, thanks to a modified or 3rd-party Boot2.
The others are probably already thinking to installing Linux, thanks to the U-Boot launcher we dumped on some old TI-Nspire prototypes.
However, such mod, if a comprehensive documentation is ever released for it, will only deal with TI-Nspire ClickPad models. TI-Nspire TouchPad has their NOR chip included in the ASIC: there is probably no way to open that chip without breaking everything.
More information: (fragmented and incomplete so far)
http://www.cemetech.net/programs/index. ... ile&id=778
http://www.omnimaga.org/index.php?topic=13761.msg251081 (point 3)
https://groups.google.com/forum/?fromgr ... QJO45-kXyk (point 3)
On the one hand, a very small hardware difference made their NOR Flash chip writeable:
Thanks to this, we were able to reprogram the boot1 contained in this chip, turning prototypes into production models accepting the OS published by TI.
On the other hand, we noticed that the prototypes ASIC CAS/non-CAS flag wasn't set.
Thanks to this, we cound turn non-CAS TI-Nspire prototypes into TI-Nspire CAS.
It seemed obvious to us, that on production models, there was probably no way to reprogram the ASIC.
But, somebody (who apparently wants to remain anonymous) followed our work very seriously and decided to do the impossible: make NOR chips rewriteable on production TI-Nspire ClickPad!
Even if no flashing has been attempted yet to our knowledge, this chip NOR from this modified production TI-Nspire ClickPad now accepts special commands (the command for obtaining the manufacturer and model, rather than the real contents of the memory at the same address), as shown by a Ndless program you can download below
The Boot1 is the central piece in TI-Nspire models security.
It's the one to check Boot2 and diags checksums and RSA signatures before launching them or not.
Being able to reprogram the Boot1 means being able to run any original, modified or 3rd party diagnostic or boot2 image!
Those who think in the short term certainly have in mind installing a CAS OS on a non-CAS TI-Nspire, thanks to a modified or 3rd-party Boot2.
The others are probably already thinking to installing Linux, thanks to the U-Boot launcher we dumped on some old TI-Nspire prototypes.
However, such mod, if a comprehensive documentation is ever released for it, will only deal with TI-Nspire ClickPad models. TI-Nspire TouchPad has their NOR chip included in the ASIC: there is probably no way to open that chip without breaking everything.
More information: (fragmented and incomplete so far)
http://www.cemetech.net/programs/index. ... ile&id=778
http://www.omnimaga.org/index.php?topic=13761.msg251081 (point 3)
https://groups.google.com/forum/?fromgr ... QJO45-kXyk (point 3)