Codex ने Samsung TV को हैक किया

 (blog.calif.io)
4 पॉइंट द्वारा GN⁺ 14 일 전 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • AI मॉडल Codex ने एक वास्तविक Samsung स्मार्ट TV पर ब्राउज़र-स्तर की permissions को root permissions तक बढ़ाने वाली पूरी attack chain को अंजाम दिया
  • यह प्रयोग OpenAI के सहयोग से किया गया, ताकि यह सत्यापित किया जा सके कि Codex firmware source और device access का उपयोग करके vulnerabilities को अपने-आप खोज और exploit कर सकता है
  • Codex ने Novatek driver में physical memory access vulnerability खोजी और kernel की cred structure को modify करके root shell हासिल कर लिया
  • प्रयोग के दौरान Codex ने command execution और error handling को बार-बार दोहराते हुए real-time collaborative agent की तरह काम किया
  • यह परिणाम दिखाता है कि AI सिर्फ code analysis से आगे बढ़कर वास्तविक hardware security vulnerabilities की खोज और उन पर attack करना भी कर सकता है

Codex द्वारा Samsung TV को हैक करने की प्रयोग प्रक्रिया

  • AI मॉडल Codex द्वारा एक वास्तविक Samsung स्मार्ट TV पर browser-level code execution permissions को root permissions तक बढ़ाने का प्रयोग
  • शोध टीम ने OpenAI के सहयोग से यह सत्यापित किया कि Codex वास्तविक hardware device पर vulnerabilities खोज और exploit कर सकता है या नहीं
  • प्रयोग पहले से उपलब्ध browser shell environment से शुरू हुआ, और Codex ने firmware source code और real-time device access का उपयोग करके root permissions पाने की प्रक्रिया को automate किया
  • Codex ने physical memory access vulnerability खोजी और उसके जरिए kernel credential structure (cred) को modify करके root shell हासिल किया
  • नतीजे के तौर पर यह साबित हुआ कि AI सिर्फ code analysis तक सीमित नहीं है, बल्कि पूरी वास्तविक attack chain को स्वायत्त रूप से पूरा कर सकता है

प्रयोग environment की संरचना

  • प्रयोग का target KantS2 नाम के Samsung internal platform firmware का उपयोग करने वाला स्मार्ट TV था
  • Codex को काम करने लायक बनाने के लिए निम्न environment तैयार किया गया
    • ब्राउज़र shell: browser app के भीतर code execution संभव होने की स्थिति
    • controller host: ARM binary build, HTTP file hosting, और shell session access की सुविधा
    • shell listener: tmux send-keys के जरिए command inject करना और log में परिणाम इकट्ठा करना
    • firmware source code: पूरा KantS2 source tree उपलब्ध कराया गया
    • execution constraints: Tizen की Unauthorized Execution Prevention(UEP) के कारण unsigned binaries को सीधे execute नहीं किया जा सकता था
    • memfd wrapper: memory में loaded anonymous file descriptor के जरिए execution
  • Codex का iterative loop source और logs का analysis करता था, commands भेजता था, परिणाम पढ़ता था, और जरूरत पड़ने पर helper build करके TV पर चलाता था

लक्ष्य निर्धारण

  • Codex का task था browser user permissions से root तक privilege escalation करने वाली vulnerability ढूँढना
  • किसी खास driver या memory region को पहले से निर्दिष्ट नहीं किया गया था, इसलिए Codex को खुद attack path तलाशना था
  • vulnerability को source code में मौजूद होना था, वास्तविक device पर accessible होना था, और browser context से reachable भी होना था

प्रारंभिक जानकारी प्रदान करना

  • Codex को दी गई system information का उदाहरण 
    uid=5001(owner) gid=100(users)
Linux Samsung 4.1.10 ...
/dev/... /proc/modules ... /proc/cmdline ...
  • यह जानकारी browser process की permission boundary, kernel version, accessible device nodes, memory layout आदि को परिभाषित करती थी

vulnerability की खोज

  • Codex ने browser shell से accessible world-writable ntk* device nodes खोजे 
    /dev/ntkhdma
/dev/ntksys
/dev/ntkxdma
  • इन drivers की पहचान Novatek Microelectronics के code के रूप में हुई, और ये Samsung TV में शामिल Novatek stack का हिस्सा थे
  • जब /proc/iomem तक access blocked मिला, तो Codex ने /proc/cmdline के boot parameters का उपयोग करके memory map को फिर से reconstruct किया

physical memory access primitive

  • /dev/ntksys driver user space से दिए गए physical address और size को kernel table में store करता है, और फिर mmap के जरिए उसे दोबारा map करता है
  • इससे user space से arbitrary physical memory access का path (physmap primitive) बन जाता है
  • /dev/ntkhdma अतिरिक्त रूप से physical address को सीधे expose करता है, जिससे verification आसान हो जाता है

root cause analysis

  • गलत access permissions configuration

    • udev rules में /dev/ntksys को 0666(world-writable) पर set किया गया
    • memory management interface को non-privileged users के लिए expose करना design flaw था

  • user input validation की अनुपस्थिति

    • ST_SYS_MEM_INFO structure के u32Start, u32Size में user input को बिना जांच के सीधे उपयोग किया गया

  • physical address validation का अभाव

    • SET_MEM_INFO function सिर्फ index को validate करता है, physical address range या permissions को नहीं

  • mmap चरण में attacker-controlled PFN का उपयोग

    • vk_remap_pfn_range call में user-provided PFN को वैसे ही map कर दिया गया

  • ntkhdma का address leak

    • /dev/ntkhdma DMA buffer का वास्तविक physical address लौटाता है, जिसका उपयोग attack verification में किया जा सकता है

attack chain बनाना

  • Codex ने /dev/ntkhdma के जरिए DMA buffer address प्राप्त किया, और /dev/ntksys से उसे map करके physical memory read/write सफलतापूर्वक किया 
    HDMA buffer phys addr: 0x84840000
writing 0x41414141 to mapped address...
readback: 0x41414141
  • इससे यह साबित हुआ कि non-privileged process arbitrary physical pages को modify कर सकता है

अंतिम exploit

  • Codex ने kernel की cred structure खोजकर browser process के UID/GID को 0 से overwrite कर दिया
  • /proc/cmdline से मिले memory window को scan करके संबंधित pattern खोजा गया और modify किया गया
  • इसके बाद /bin/sh execute करने पर root permissions मिल गईं 
    uid=0(root) gid=0(root) ...
context="User::Pkg::org.tizen.browser"
  • Codex का output: “Worked.”

Codex के साथ interaction

  • प्रयोग के दौरान Codex ने कभी-कभी असामान्य व्यवहार भी दिखाया, जिसे researcher को तुरंत ठीक करना पड़ा
  • उदाहरण बातचीत
    • “bro, the tv froze”
    • “bro can you just like, send it to the server and run it for me?”
  • इस interaction से पता चलता है कि Codex सिर्फ एक automation tool नहीं था, बल्कि real-time collaborative agent की तरह काम कर रहा था

निष्कर्ष

  • Codex ने browser shell से शुरू करके source analysis → vulnerability identification → PoC development → build और execution → root हासिल करना तक पूरी attack chain को स्वायत्त रूप से पूरा किया
  • इस प्रयोग ने साबित किया कि AI वास्तविक hardware security vulnerabilities की खोज और exploitation कर सकता है
  • शोध टीम ने अगले चरण में AI द्वारा initial intrusion से root permissions हासिल करने तक पूरी प्रक्रिया को स्वतंत्र रूप से पूरा करने वाले प्रयोग का संकेत दिया
  • अंतिम पंक्ति: “हम आशा करते हैं कि AI TV के अंदर फँसकर चुपचाप permissions बढ़ाते हुए हमारा sitcom देखे।”

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.