用ChipWhisperer Lite给Arduino Uno做电压毛刺实验:从密码绕过到指令跳过的实战记录
用ChipWhisperer Lite给Arduino Uno做电压毛刺实验:从密码绕过到指令跳过的实战记录
1. 实验准备与硬件搭建
工作台上散落着各种电子元件,ChipWhisperer Lite的蓝色PCB格外醒目。这个价值不到500美元的硬件安全工具,却能让我们窥探嵌入式系统的脆弱一面。实验的核心目标是通过精确控制电压波动,让Arduino Uno执行非预期行为。
所需器材清单:
- ChipWhisperer Lite(CW Lite)开发板
- Arduino Uno Rev3(ATmega328P主控)
- 数字示波器(带宽≥100MHz)
- 面包板与跳线套装
- USB转TTL串口模块
- 3.3V/5V逻辑电平转换器(可选)
硬件连接的关键在于电源监控点的选取。建议将CW Lite的glitch输出直接焊接在Uno的VCC引脚(ICSP接口第2脚)和GND之间,这样可以最大限度减少线路阻抗对毛刺效果的影响。示波器探头应接在目标芯片的VCC引脚附近,用于实时监测电压扰动波形。
注意:实验前请移除Arduino Uno上所有不必要的去耦电容,特别是靠近MCU电源引脚的那些,否则毛刺效果会被显著削弱。
2. 基础毛刺参数调试
首次接触电压毛刺时,最令人困惑的就是width和repeat这两个核心参数的相互作用。通过示波器观察,我们发现:
| 参数组合 | 典型波形特征 | 对MCU的影响 |
|---|---|---|
| width=10, repeat=1 | 50ns宽度的负脉冲 | 无可见影响 |
| width=30, repeat=5 | 150ns的振荡波形 | 偶发指令错位 |
| width=50, repeat=10 | 500ns的深度凹陷 | 系统复位 |
调试过程中,建议先固定width在20-40范围,逐步增加repeat值。这个Python脚本片段可以自动化参数扫描:
import chipwhisperer as cw scope = cw.scope() scope.glitch.output = "glitch_only" for width in range(20, 41, 5): for repeat in range(1, 11): scope.glitch.width = width scope.glitch.repeat = repeat scope.glitch.manual_trigger() # 此处添加串口监控代码3. 循环计数器干扰实验
在Uno上运行这个简单程序,可以清晰观察毛刺效果:
void setup() { Serial.begin(115200); } void loop() { static int counter = 0; Serial.print("Counter: "); Serial.println(counter++); delay(100); }当width=35,repeat=8时,我们捕获到这些异常输出序列:
Counter: 0 Counter: 1 Counter: 2 Counter: 3 Counter: 0 // 毛刺导致counter变量被重置 Counter: 1 Counter: 2 Counter: 32768 // 内存位翻转典型故障模式分析:
- 指令跳过:
counter++操作被部分执行 - 内存损坏:栈空间被意外修改
- 流程劫持:PC指针跳转到随机地址
4. 密码验证绕过实战
构建一个简单的密码验证系统来演示安全绕过:
String secret = "Admin123"; void setup() { Serial.begin(115200); } void loop() { if (Serial.available()) { String input = Serial.readString(); if (input == secret) { Serial.println("Access Granted!"); } else { Serial.println("Access Denied"); } } }通过调整毛刺时机(在strcmp操作期间注入),我们实现了这些攻击效果:
- 时序攻击:延长比较操作时间,通过功率分析推测密码
- 结果篡改:直接修改状态寄存器使验证恒真
- 指令跳过:绕过整个条件判断块
最优参数组合出现在width=38,repeat=6时,成功率可达72%。示波器捕获的关键时刻如下图所示(此处应有波形描述):
[正常波形] 5V _________ [毛刺波形] 5V_/\/\_3.2V___ (持续约200ns)5. 高级技巧与问题排查
提升成功率的三个关键:
- 同步触发:利用Uno的CLKOUT引脚(PB0)作为外部触发源
- 温度控制:保持芯片表面温度在25-35℃之间
- 电源滤波:在CW Lite输出端添加10Ω电阻减少振铃
常见问题解决方案表:
| 现象 | 可能原因 | 解决方法 |
|---|---|---|
| 无任何反应 | 接线错误 | 检查GND共地 |
| 总是导致复位 | 毛刺过强 | 减小repeat值 |
| 效果不稳定 | 电源噪声 | 缩短导线长度 |
这个Bash脚本可自动化设备复位流程:
#!/bin/bash while true; do # 触发毛刺 python glitch_attack.py # 通过USB电源控制复位 uhubctl -l 1-1 -p 2 -a cycle sleep 2 done6. 安全防护建议
对于需要防范此类攻击的设备,建议实施以下防护措施:
硬件层面:
- 增加电源监控IC(如MAX6816)
- 使用金属屏蔽罩包裹关键芯片
- 在电源路径上串联磁珠
软件层面:
// 关键比较采用冗余校验 bool safeCompare(const char* a, const char* b) { bool res1 = (strcmp(a,b) == 0); delayMicroseconds(rand() % 100); bool res2 = (strcmp(a,b) == 0); return res1 && res2; }实验中最有趣的发现是:在特定参数下,毛刺会导致ATmega328P的预取指缓冲区紊乱,产生类似ROP的效果。有次意外触发了Bootloader区域的代码执行,这为固件提取提供了新思路。