Un experimentado hacker en consolas, denominado CTurt expuso lo que él llama un agujero "esencialmente imposible de parchear" en la seguridad de la PS4 y la PS5, detallando un método de prueba de concepto que debería permitir la instalación de aplicaciones caseras arbitrarias en las consolas.
CTurt afirma haber revelado su hazaña, bautizada como Mast1c0re, a Sony a través de un programa de recompensas por errores hace un año, sin que haya ninguna señal de una solución pública. El método aprovecha los errores de la compilación justo a tiempo (JIT) que utiliza el emulador que ejecuta ciertos juegos de PS2 en la PS4 (y PS5). Esa compilación da al emulador permisos especiales para escribir continuamente código listo para PS4 (basado en el código original de PS2) justo antes de que la propia capa de aplicación ejecute ese código.
Al obtener el control de ambos lados de ese proceso, un hacker puede escribir código privilegiado que el sistema trata como legítimo y seguro. "Dado que utilizamos las llamadas al sistema JIT para su propósito previsto, no es realmente un exploit, sino sólo un buen truco", dijo CTurt sobre un exploit JIT ya parcheado en el navegador web de la PS4.
Para hacerse con el control del emulador, un hacker puede, en teoría, hacer uso de cualquier número de exploits conocidos que existen en juegos de PS2 de hace décadas. Aunque algunos de ellos pueden activarse simplemente pulsando un botón, la mayoría requieren el uso de un juego conocido que se pueda explotar para acceder a un archivo de guardado especialmente formateado en la tarjeta de memoria, lo que lleva a un desbordamiento del búfer que da acceso a una memoria que, de otro modo, estaría protegida (a lo largo de los años se han utilizado explotaciones similares en hacks de PSP y Nintendo 3DS).
Este método está un poco limitado, sin embargo, por el hecho de que la PS4 y la PS5 no pueden reconocer de forma nativa los discos estándar de PS2. Esto significa que cualquier juego explotable tiene que estar disponible como un juego descargable de PS2 en PS4 a través de PSN o uno de los pocos juegos de PS2 lanzados como discos físicos compatibles con PS4 a través de editores como Limited Run Games.
Conseguir un archivo de guardado de PS2 listo para el exploit en la PS4 tampoco es un proceso sencillo. CTurt tuvo que utilizar una PS4 ya hackeada para firmar digitalmente un archivo de guardado modificado de Okage Shadow King, para que funcionara con su ID de PSN. A continuación, CTurt utilizó la función de importación de partidas guardadas por USB del sistema para llevar ese archivo al sistema de destino.
Una vez establecidas las bases, CTurt recorre una complicada serie de desbordamientos de búfer y pila, fugas de memoria y exploits de RAM que utilizó para obtener el control del emulador de PS2. Una vez establecido el control, pudo acceder a las funciones integradas del cargador para transferir un archivo ISO de PS2 por separado a través de una red local y luego decirle al emulador que cargara ese juego a través de un disco virtual.
Aunque cargar otros juegos de PS2 en un emulador está bien, el verdadero objetivo de CTurt era utilizar este punto de entrada como forma de ejecutar código casero arbitrario en el sistema. Ese proceso se detallará en un futuro escrito, aseguró CTurt.
Los hackers todavía tendrían que hacer uso de un exploit del kernel separado (y potencialmente parcheable) para obtener el "control total" de una PS4, indicó CTurt. Sin embargo, el exploit mast1c0re por sí solo debería ser suficiente para ejecutar programas complejos "incluyendo emuladores optimizados para JIT y potencialmente incluso algunos juegos comerciales hackeados de PS4." Mast1c0re también podría utilizarse teóricamente como punto de entrada para comprometer el hipervisor de PS5 que controla la seguridad del sistema de bajo nivel en esa consola, dijo CTurt.
Aunque en el pasado hubo exploits de PS4 homebrew, Sony ha sido diligente a la hora de lanzar actualizaciones de firmware que los hacen, al menos, algo obsoletos, pero CTurt sustrajo que sería casi imposible para Sony tapar el agujero que permite el mast1c0re. Esto se debe a que una versión del emulador de PS2 explotable en cuestión se incluye en cada juego disponible de PS2 en PS4 en lugar de almacenarse por separado como parte central del sistema operativo de la consola.
En el caso de los discos físicos de PS2 sobre PS4, esto significa que el exploit debería seguir funcionando siempre que se rechace cualquier actualización en línea antes de jugar y en el caso de los lanzamientos digitales, incluso si el exploit se parchea más tarde, existen métodos para rebajar a una versión almacenada y explotable utilizando tráfico HTTP proxy desde un servidor local.
"No es técnicamente imposible de parchear en el sentido pleno, sino en el sentido de que así es como está diseñada la consola y no la van a cambiar. Una vez que tienes un juego explotable (digital o físico), sería difícil para Sony eliminarlo o parchearlo de tu consola". CTurt
La emulación de PS2 "viola fundamentalmente el propio modelo de seguridad de Sony porque deja el código privilegiado sin mecanismos fácilmente disponibles para parchear posibles vulnerabilidades futuras", escribió CTurt.
Mientras que Nintendo retiró los juegos de 3DS explotables de la eShop de Nintendo para tratar de limitar el daño de un hackeo público, CTurt señala que Sony aún no ha retirado los juegos de PS2 explotables de PSN en y una parte ya borrada de la versión inicial de su escrito, CTurt también señaló que "la respuesta oficial de PlayStation a mí después de un año de informar fue que decidieron no intentar parchear esta cadena."
Todo esto sugiere que el exploit mast1c0re puede estar aquí para quedarse y aunque por ahora es solo una prueba de concepto, parece probable que la comunidad de hackers de PlayStation aproveche esta cabeza de playa para establecer un montón de oportunidades de homebrew para PS4 y PS5 en el futuro.