打印

[新闻] Xbox One被皮角

Loslandy

侠客

帖子: 490
精华: 0
积分: 10582
激骚: 24 度
爱车
主机: PS4 NS PC
相机: SONY A7M3
手机: iPhone 7 plus
来自: 广州
注册时间: 2009-2-24

发短消息
加为好友
当前离线

1^# 大中小发表于 2026-3-16 12:17 只看该作者

在近日举行的RE//verse 2026安全会议上，安全研究员马库斯·加塞德伦公布了一项重磅成果：初代Xbox One的完整皮角方案。这台微软主机自2013年发售以来，整整12年未被攻破。

https://www.bilibili.com/video/BV1j9wHzCEgK

加塞德伦将这一方法命名为“The Bliss Hack”。与软件漏洞不同，该皮角需要物理接触主板——通过在系统启动的特定几分之一秒内对电压进行精确干扰，绕过64KB bootrom内存的保护，最终获得代码执行权限。这个64KB的bootrom是整个主机安全体系的“信任根”。

在启动初期获得控制权，意味着用户可以对系统拥有完全访问权限。加塞德伦表示，这可以用于解密任何游戏、固件和更新，甚至在任何操作系统层级运行未签名代码。他强调，自己的主要动机是保护游戏遗产，否则随着硬件老化，这些老主机终将变成废铁。不过，实现这一皮角需要在主板上焊接大约三根线，并使用额外的微控制器来注入信号。

需要说明的是，该方法仅保证在2013年发售的初版Xbox One上有效。后续的Xbox One S和Xbox One X采用了更新的安全架构，配备两颗启动验证处理器。加塞德伦并未在新机型上测试，但他推测未来可能会有爱好者适配这套硬件攻击方法。预计很快就会有基于此项研究的现成芯片问世，让主机改装变得简单。

另转一篇知乎大佬的分析：

Xbox One在软件安全上采用了虚拟机架构，系统核心是一个Hyper-V虚拟机平台，上面跑两个虚拟机，一个是系统UI+商城app的app OS，一个是专门预留给游戏的game OS。

将所有游戏、app开发者所能接触到的环境都虚拟化，有效避免了任何开发者制造bug入侵系统底层的可能性。

硬件上，Xbox One采用物理安全处理器和SoC上独立的线路处理启动引导验证、升级版本验证、加密密钥传输等核心安全功能，在内存控制器、I/O接口上均添加硬件加密、输入输出安全管理等硬件模块。

不仅硬盘、闪存文件全部加密，通过SoC的流媒体加密引擎解密，连内存控制器输出到内存颗粒的数据都是实时加密的。可以说CPU代码只有在SoC内部才处于解密状态，在任何外部存储状态都是加密的。

物理安全处理器有独立的固件，独立的eFuse保险丝烧录保护。启动时初始化SoC、验证下一步启动文件是否正确加密签名、版本是否高于eFuse已经烧录的升级计数，如果有任何问题都拒绝启动。

由于微软在Xbox 360上吃了芯片供电时钟保护不足导致被干扰跳过验证的亏，微软在Xbox One的SoC硬件和固件上做了额外的保护措施。

SoC内部会有硬件监测电路，检查温度、电压、时钟信号的可靠性，如果被恶意干扰就拒绝启动。（重点：这个检测保护措施在第一批SoC上是禁用的，因为稳定性不够。所以目前只有第一批机器能皮角，没有在后期机器上验证过）

安全处理器有调试用的POST报错、JTAG调试等功能，但在启动早期会读取eFuse检测芯片被烧录成什么模式，只有硬件开发机会继续启用POST。如果是零售机、游戏开发机测试机这种，就会禁用POST、JTAG等等功能，防止黑客利用POST代码检测引导程序运行到哪一步哪一条指令，进而针对性地干扰电压。

最有创意的一招是用硬件随机数生成器生成密钥等各种随机数，随机数被用在往引导程序里面随机插nop stall。第一段启动引导程序大约耗时30万条指令周期，大约有一半是nop，分布在程序各处用随机生成的参数控制开闭。

这样从开始启动到运行到需要干扰皮角的指令，所需的时间是随机的，再加上POST禁用掉以后等于开了战争迷雾，没法确定在哪里触发干扰，确定一次，即使能成功触发，也无法用在下一次，因为下次启动，随机nop时隙又变了。

当年微软做过一次安全演讲，Xbox硬件安全大佬Tony Chen的评估是：
• 只有第一段引导程序被皮角才能对我们造成威胁，因为第一段程序是烧死在芯片里的，已经卖出去的机器没法修改，之后阶段的引导程序都可以软件更新修复。
• 硬件皮角的成本方面，只要最终客户安装皮角的成本高于十张游戏，那么就不具备可实施的商业基础。那种要拿电镜直接读取芯片原始数据的皮角方式，他们不管。
基于以上评估，微软大力加强了第一段引导程序和运行环境的安全，使用了很多在游戏安全领域超前十年的技术。

但仍然有大佬真就用显微镜手段读取了引导程序的代码做静态分析尝试找到可以干扰的点，并且用了一堆旁路攻击的方法成功实现了干扰。
大佬的PPT视频我还没看完，不过大概思路是：
• 通过精密电源和示波器，检测供电线路的微小波动对启动引导程序的运行状态做一个“剪影”，大致看出啥时候在运行、在干什么。
• 通过和显微镜读出的代码静态分析的结果比对，尝试找到可以干扰的弱点。
• 安全处理器固件初始化和内存控制器加密初始化是两个过程，需要分别找准干扰时机。前期研究花了很长时间找到第一阶段干扰时机，成功率可能在1/100左右，但要完整取得系统控制权，还要在第一次干扰成功的基础上进行第二次干扰。
• 为了找准两次干扰的最佳时机，大佬尝试了上百万次（通过脚本自动化测试排列组合，人工不可能试出来）。期间由于反复重启读写错误log，干废好多次emmc芯片，不得已用上了更换耐久度极高的工业级芯片等等策略。
一般层面的攻防已经不稀奇了，已经进化到实验室拼堆料的阶段了。

而且这个皮角比以往更厉害的地方在于：微软在安全系统里设计了多层防御纵深，比如安全处理器设计了类似TPM启动哈希验证的方式，可以以不可逆的方式检测安全处理器初始化以后加载启动所有系统模块的正确性。内存加密、NX位、IOMMU之类硬件层面的模块也都进一步加大了稳定皮角不冲突崩溃或者被检测到的可能性。

但是这个安全处理器固件被干扰进而获得系统控制权，发生在上述所有安全机制初始化之前，且固件烧死在芯片里无法修改。

也就和Tony Chen说的一样，只有这个模块能对他们造成威胁，后面所有的防御都会失效。

现在威胁出现了，直接一发入魂全部干穿（仅限2013款初代主机）

可以说马奇诺防线又一次上演了，虽说并不是微软真的疏忽了，而是黑客实在太强了。

[ 本帖最后由 Loslandy 于 2026-3-16 14:35 编辑 ]