年仅22岁的天才安全研究员Amber Katze，近日在第39届混沌通讯大会（39C3）上宣布，已成功完全破解英伟达（NVIDIA）Tegra X2芯片的安全启动机制。这代表全球数以百万计搭载该芯片的装置，从MR混合实境眼镜到特斯拉电动车系统，只要能实体接触USB界面，就可能遭到入侵。

英伟达Tegra X2安全机制失守

据《快科技》报导，Katze投入研究的起点，来自2024年Magic Leap关闭Magic Leap One的云端服务，导致这款售价高达2300美元的MR眼镜瞬间失去功能，沦为“电子垃圾”。为了让这些设备恢复正常功能，她决定从底层安全机制着手，寻找突破口。

Fastboot现漏洞 未签名程序码成功执行

Magic Leap One采用的正是Tegra X2芯片，其启动流程使用Fastboot协议，且相关开源程序码由英伟达提供。Katze深入分析后，发现其中存在两个关键漏洞，分别是“sparsehax”与“dtbhax”。前者源于系统在解压SparseFS映像档时的逻辑错误，后者则可透过载入特定核心设备树块（DTB），取得持久化的存取权限。

透过这两个漏洞，Katze成功在Magic Leap One上执行未签名程序码，突破系统的第一层安全防线。接着，她利用故障注入技术，迫使Tegra X2在启动过程中产生错误，并藉由侧频道手法，汇出原本高度保护的BootROM韧体。她随后在BootROM程序码中发现USB恢复模式存在严重漏洞，而由于BootROM属于芯片硅片上的唯读程序码，这项缺陷无法透过软件更新修补。

BootROM出现缺陷 成为难以补救的安全死角

Katze指出，只要能接触到USB接口，攻击者便可利用该漏洞绕过整条安全启动链，完全接管采用Tegra X2的设备，甚至包括特斯拉电动车的自动驾驶系统。虽然此类攻击门槛高、需实体接触装置，但她仍成功建构完整的利用链，取得最高权限的程序码执行能力。

不过，Tegra X2芯片早在2016年推出，目前已停产，后续产品也已修补相关漏洞，因此对一般消费者的实际影响有限。