Nintendos nye konsoll, Switch, har på bare ett år solgt over 14 millioner enheter. Nå innrømmer Nintendo og Nvidia at den har en feil som ikke kan patches. Feilen skyldes en usikkerhet i Nvidia-brikken (Tegra X1) som er i konsollen, som lar brukeren sende kode direkte inn i systemet.
Det kan gjøre spillkonsollen til et sted der hackere kan hygge seg, skriver TechCrunch. Det er riktignok ikke snakk om hackere som er ute etter verken penger eller data, men snarere folk som vil kjøre Super Nintendo-emulatorer eller Linux på spillkonsollen.
Svakheten har fått navnet Fusée Gelée – eller Frozen Rocket, og den ble først oppdaget av failOverflow. Det er en så alvorlig brist, at alle konsoller på markedet er rammet – og de kan ikke patches. Nintendo vil rette opp feilen slik at kommende enheter vil være immune.
Les også: Open source-spillmotor klar til konkurranse med kjempene (version2.dk)
Navnet er avledet av Switchens styresystem Horizon, forklarer Kate Temkin, som på Github har lagt frem hva hun og hennes team har funnet ut om sårbarheten:
«Det her er en coldboot exploit som sender payloads over the Horizon – derfor navnet Frozen Rocket», sier hun til Techcrunch.
Slik virker det
Nvidia Tegra X1 har en liten feil som under «Boot and Power Management Processor» ukritisk tillater at det ut over de vanlige programmer også kjøres en datapakke på opp til 64 kB (65.535 bytes) på konsollen.
Du behøver ikke få panikk om du har en Switch stående i stuen. Selv om det er en meget alvorlig sikkerhetsbrist, så vil det kreve fysisk tilgang for en hacker. Derfor vil antagelig hullet heller bli en åpning for folk som selv vil nerde litt med modifiseringer.
Det er selvfølgelig en risiko for at det kan åpne konsollen (og dermed hele Switch-spillmarkedet) for piratvirksomhet, men det forventes snarere at hackerne vil ha fokus på områder Switchen normalt ikke tillater. Det kan være for eksempel å lage sikkerhetskopier, kjøre emulatorer eller leke med operativsystemer med flere muligheter enn de få funksjonene Nintendo har stilt til rådighet for brukerne.
Mandag skrev failOverflow på Twitter:
Artikkelen er levert av Version2.dk