- Boot1
- Boot2
- OS
Selon le modèle de sécurité utilisé, chaque élément logiciel garantit l'intégrité de l'élément suivant.
Depuis l'année dernière, il est devenu possible de reprogrammer le Boot1 sur les prototypes TI-Nspire ClickPad du 1er trimestre 2007, transformant ces derniers en modèles de production acceptant les derniers OS publiés sur le site de TI.
En effet, ces prototypes utilisaient une puce Flash-NOR externe non protégée contre l'écriture.
Mais cette manipulation n'est pas réservée qu'aux rares prototypes!
Nous savions déjà que les TI-Nspire TouchPad avaient vu leur puce Flash-ROM intégrée à la puce ASIC. Elle nous est donc à ce jour inaccessible à tous les sens du terme.
Nous remarquions dans une news précédente que les TI-Nspire ClickPad de révision matérielle C et ultérieure avaient aussi leur puce Flash-ROM intégrée à l'ASIC.
Nous ne savons pas pour les révisions matérielles B, mais les toutes premières TI-Nspire de production sorties en 2007 ainsi que leur révision matérielle A disposent d'une carte mère similaire à celle des prototypes avec la même puce Flash-ROM externe!
Le seul petit problème est que leur puce Flash-ROM est matériellement protégée contre l'écriture suite à une différence de brochage:
Mais pour rendre la puce réinscriptible, il suffisait d'une petite modification matérielle relativement simple, présentée dans une news précédente pour les TI-Nspire numériques:
Après un premier test réussi de reprogrammation du Boot1 dans une news précédente, j'ai l'honneur de vous présenter ce jour la dernière création de la communauté, le Boot1 1.1.9999!
Il s'agit d'un patch pour le Boot1 1.1.8916 équipant toute les TI-Nspire ClickPad et TouchPad de production qui va vous permettre d'installer et de lancer:
- des Boot2 de production
- des Boot2 de développement
- des Boot2 modifiés
- des logiciels de diagnostics de production
- des logiciels de diagnostics de développement
- des logiciels de diagnostics modifiés
Il accepte donc sans problème des images modifiées qui ne passent pas le test de signature RSA puisque l'on ne dispose pas de la clef privée de TI!
Voici par exemple une TI-Nspire munie du Boot1 1.1.9999 qui tourne avec un Boot2 1.4.1571 dont le numéro de version a été modifié en 1.4.9999:
Les possibilités ouvertes sont tout bonnement énormes!
D'une part, c'est un exploit bien supérieur à celui de nLaunch dans une news précédente.
Ndless lui, prenait le contrôle dans l'OS, ce qui ne serait plus possible à partir de la version 3.2 tellement l'OS a été blindé.
Dans le cas particulier du Boot2 1.4, nLaunch arrivait à prendre le contrôle lors du passage du Boot2 à l'OS, soit avant le lancement de l'OS et en ce sens, l'exploit utilisé lui est supérieur. Cela cassait donc la 2ème transition (Boot2/OS) du modèle de sécurité et permettait de faire n'importe quoi avec l'OS.
Hélas, à partir du Boot2 3.0, cela n'est plus possible suite à divers blindages là encore. De plus, ceci ne devrait pas empêcher TI de contre-attaquer, puisque l'OS a la possibilité de vérifier et reprogrammer le Boot2 au démarrage.
Mais ici, la prise de contrôle ne se passe pas dans le Boot2 ou même lors du passage du Boot1 au Boot2... mais au sommet de la pyramide dans le Boot1 puisque l'on peut programmer absolument n'importe quoi et sans aucun contrôle, car au-dessus du Boot1 il n'y a... rien!
L'on peut donc faire n'importe quoi avec le Boot1, avec le Boot2, et par extension avec l'OS!
Tout est donc possible et envisageable:
- utiliser les logiciels de diagnostics de développement qui disposent d'options bien plus nombreuses et utiles que ceux présents par défaut sur les TI-Nspire de production
- avoir notre propre logiciel de diagnostics avec des options encore plus poussées
- utiliser U-Boot afin de lancer directement Linux sans avoir à passer par l'OS 3.1 et Ndless
- avoir un menu de démarrage pour choisir l'OS à lancer dans le cadre d'un muli-boot
- utiliser un Boot2 modifié qui ne vérifie pas les signatures de l'OS à lancer, l'identifiant du modèle ou le typage CAS/non-CAS
- programmer et lancer tout ceci dans la zone du logiciel de diagnstics, qui contrairement à la zone du Boot2 n'est pas reprogrammée lors de l'installation d'un nouvel OS
- ...
En prime pour vous, voici la programmation historique du Boot1 1.1.9999 en direct live!
Liens:
Patch Boot1 1.1.9999
FlashBoot1
- Boot1
- Boot2
- OS
In this security model, each software component ensures the integrity of the next one.
Since last year, it became possible to reprogram the boot1 on prototypes TI-Nspire ClickPad from Q1 2007, permanently transforming these into production models accepting the latest OS released on TI website.
Indeed, these prototypes were using an external read-write Flash-NOR chip.
But this is not limited to prototypes!
We already knew that the TI-Nspire TouchPad had their Flash NOR chip moved into the ASIC chip. So so far, that chip is out of our reach.
We noticed in a previous news that TI-Nspire ClickPad Hardware Revision C and later had their Flash NOR chip incorporated into the ASIC chip too.
We do not know about hardware revisions B, but the very first production TI-Nspire released in 2007 and their hardware revision A have a motherboard similar to the prototypes with the same external Flash NOR chip!
The only problem is that their Flash NOR chip is physically set to read-only through a difference in the pinout:
But a tiny hardware modification was enough to make that chip rewriteable, as presented in a previous news for non-CAS TI-Nspire:
After a first successful test of a Boot1 reflashing in a previous news, I'm honored to present you today the lastest achievment of the TI community, Boot1 1.1.9999!
This is a patch for the Boot1 1.1.8916 coming with all production TI-Nspire ClickPad and TouchPad, which will allow you to install and run:
- production Boot2
- development Boot2
- modified Boot2
- production Diagnostics
- development diagnostis
- modified diagnostics
Meaning that is does accept modified images which don't pass the RSA signature check! crazy#:
For example, here is a TI-Nspire with Boot1 1.1.9999, running on a 1.4.1571 Boot2 whose version string has been patched to 1.4.9999:
The possibilities are simply huge!
On the one hand, this is a feat far greater than in a nLaunch previous news.
Ndless was taking control of your TI-Nspire inside the OS 3.1.
nLaunch was allready one step above as it was taking control of your TI-Nspire inside the Boot2 1.4, meaning that you could do everything with the OS.
And now, we're taking full control of the hardware inside the Boot1 1.1.8916, meaning that we can do everything with the Boot2 and Diagnostics software, and by extension with the OS.
Everything is now possible, just be inspired and imagine:
- using development Diagnostics softares which much more interesting options
- have our own diagnostics software or maintenance menu with much more options
- using U-Boot to start Linux directly without having to go through the OS 3.1 and Ndless
- having a boot menu to choose the OS to launch within a multi-boot
- using a modified Boot2 that does not check the signatures of the OS to launch, the mode ID or CAS / non-CAS type
- programming and running all this in the Diags area which, unlike the Boot2 area, is not checked/reprogrammed after installing a new OS
- ...
As a bonus for you, here is the historical video of the live first flashing of Boot1 1.1.9999!
Links:
boot1 Patch 1.1.9999
FlashBoot1