← На главную

Хакеры откатили прошивку Wall Connector 3, обойдя защиту boot2

14.05.2026 20:41 · hackernews

Мандариновый хакерский коллектив описал метод обхода защиты от отката прошивки в зарядном устройстве Tesla Wall Connector 3. Уязвимость кроется в несоответствии между логикой обновителя и загрузчиком. Обновитель применяет проверку рэтчета (security ratchet) через функцию switch_to_new_firmware() только на этапе вызова рутинной команды 0x201. После этого этапа загрузчик boot2 проверяет магический заголовок SBFH, пересчитывает CRC32 и верифицирует подпись по ключам из хранилища, но полностью игнорирует текущий номер рэтчета. Хакеры заметили, что команда 0xFF00 переформатирует таблицу разделов, повышая генерационный счетчик целевого слота, но не удаляет данные сразу.

Используя этот нюанс, команда провела серию манипуляций на шине Single-Wire CAN. Сначала они пушили легитимную актуальную прошивку версии 24.44.3 и запустили процедуру валидации с помощью команды 0x201, записав корректный лейаут разделов в память. Это подняло уровень генерации в нужном слоте до максимума. Затем без перезагрузки они снова вызвали команду 0xFF00, которая, основываясь на неизменившихся флагах загрузки g_boot_flags, решила, что физический тот же слот стал пассивным, и очистила его содержимое, не трогая запись в таблице разделов.

В освобожденный слот хакеры записали старую уязвимую версию 0.8.58. После этого они пропустили обязательную валидацию командой 0x201, так как она отклонила бы старый образ, и сразу запустили перезагрузку командой 0x202. При старте загрузчик увидел высокий генерационный счетчик в таблице разделов, подтвердил валидность цифровой подписи старой прошивки и загрузил её. Проверка рэтчета так и не была выполнена. Эксплойт требует около 30 минут на медленной шине, но открывает доступ к утечке данных Wi-Fi, telnet-шеллу и буферному переполнению в парсере аргументов. Уязвимость уже исправлена в обновлении прошивки, однако метод остаётся наглядным примером опасности, когда анти-даунгрейд реализован только в одном модуле кода.

Читать оригинал →