GAME&WATCH REMAKE ! HACKED !!

​

Un giorno prima del rilascio ufficiale un dev non molto conosciuto (tale "stacksmashing") effettua un teardown ed ottiene ragione della nuovissima "mini" di Nintendo in una manciata di ore; in realtà l'aggeggio non è una vera miniconsole ma una riproduzione dei vecchi Game&Watch in versione rivisitata moderna con il gioco NES Super Mario Bros ed altre amenità che motivano l'acquisto ai nostalgici ed ai più curiosi !

Nata per celebrare il 35esimo anniversario di Super Mario ecco la sua presentazione pubblicitaria ufficale:

Ufficialmente abbiamo dunque 3 giochi:


più una funzione di orologio digitale che presenta 35 "easter eggs" da scovare (vedi risposte più in basso):



La console puo'essere vostra già da subito con Amazon alla modica cifra di circa 80€ ma se volete di più continuate a leggere


Il teardown ha portato alla scoperta di questi dati:


CPU: STM32H7B0VBT6, un Cortex-M7 con 128 KBytes di memoria Flash e 1024 KBytes di RAM.


Memoria Flash: Macronix 25U8035 da 8Mb (1MB).


Vengono subito individuati i possibili "accessi" fisici:


Che vengono prontamente esplorati:


Identificando la ROM di Super Mario in esecuzione in RAM (confrontata con il file della ROM originale):


… ed infine l'agognato:



Ne sentiremo presto delle belle ma con soli 8megabit a disposizione per ora non aspettiamoci molto senza una hard mod che ne espanda le specifiche hardware !




UPDATE 1

I flash chip da 1MB (8Mbit) è offuscato attraverso un pattern XOR; il dev lo ha scoperto facendo cosi:

- collegato la console via jtagger e scoperto che è protetta; nello specifico la CPU permette 3 livelli di protezione (chiamati RDP levels):
level 0 = nessuna protezione
level 1 = lettura flash CPU protetta ma alcuni strumenti di debug permessi come il RAM dumping
level 2 = impossibile qualsiasi forma di debug

- la nostra console ha una protezione level 1;
- dumpato il contenuto della RAM (la RAM usualmente contiene dati già decriptati dalla CPU)
- cercato bytes della ROM originale di Super Mario Bros all'interno del dump (trovati!)
- ora il dev ha modificato alcuni bytes nel flash chip scoprendo che il gioco modificato ancora partiva (importante perchè significa che il contenuto del flash chip non è verificato)
- a questo punto ha scritto valori arbitrari nel flash chip per vedere come questi venissero decriptati dalla CPU scoprendo il pattern XOR di offuscamento (offuscare è diverso da criptare); in pratica i bytes originali in chiaro vengono XORati ottenendo bytes differenti: conoscendo la stringa di cifratura XOR si riapplica al contrario e si riottengono i bytes originali. Questo tipo di attacco si chiama "plain text attack" cioè è possibile ricavare il dato offuscato perchè si conosce il valore del dato originale (dump originale di una ROM), se avete visto il film su Turing qualcosa dovrebbe tornarvi

Quindi il flash chip è stato compreso ed è possibile scriverci valori arbitrari grazie alla mancanza di verifica dei dati scritti in esso.

Il firmware originale della CPU non puo'essere letto ma puo'essere riscritto.

Adesso resta da capire se: il flash chip contiene codice modificabile (es. l'emulatore) oppure tutto è gestito dalla CPU; contemporaneamente si cerca un sistema (forse qualche glitch) per dumpare la flash della CPU (cioè il firmware di 128KB, che è diverso dal contenuto dal flash chip da 1MB in quanto risiede all'interno della CPU) anche se protetta.

Il video:

UPDATE 2

Grazie ad un bug non ancora spiegato nel dettaglio è stato dumpato TUTTO il firmware della CPU ! Sembra siano stati trovati elementi utili per pensare che ci sia una sorta di test mode:


Aggiornamenti nelle prossime ore/giorni !




UPDATE 3

Running DOOM ! Versione strippata all'osso per i limiti hardware di memoria (sia RAM che Flash).






UPDATE 4

Per entrare nel factory test mode procedere come segue:

- Hard reset del game&watch tenendo premuto POWER per 5 secondi (se siete nella prima schermata di boot potete semplicemente spegnere la console e seguire la seguente combinazione di tasti).
- tenendo premuto UP+B, premere il tasto POWER
- infine rilasciare tutti i tasti e premere GAME+PAUSE/SET.




UPDATE 5

Rilasciati flashdumper e flashlaoder, tools per linux in grado di dumpare e flashare la SPI-Flash del G&W; solo per sviluppatori e smanettoni !

 

EASTER EGGS

Tenere premuto A per 5 secondi in Super Mario Bros per vite infinite.

Tenere premuto A per 5 secondi in Ball per giocare impersonando Luigi.

Finire Mario per sbloccare in modo permanente l'Hard mode del gioco !



Tenere premuto A per 5 secondi nella schermata dell'orologio per vedere come disegnare Mario accompagnati da una musichetta multilingua con sottotitoli in sottofondo (The Mario Drawing Song) !

Premere B nella schermata del primo Super Mario per selezionare il livello da cui partire (premendolo cambierà il numero del mondo scritto in alto alla voce "WORLD"); (grazie a @gelderm). Io ho finito il gioco utilizzando gli warp SENZA passare per tutti i livelli e posso ora selezionarli tutti quindi i livelli non vanno necessariamente visitati, probabilmente sblocca dall'ultimo livello a cui siete arrivati a ritroso.

Dopo aver completato Super Mario Bros.: The Lost Levels, nello schermo del titolo di gioco apparirà una stella. Ottienere otto stelle completando il gioco otto volte per sbloccare il mondo segreto A. Questo mondo è composto da quattro livelli e ospita dei Koopa più veloci:

 

Tutto probabilmente giusto ! I devs di ModMyClassic hanno messo le mani sul prodotto ieri pensando già a vari sistemi per dumpare il firmware, vediamo cosa saltera' fuori

 

Dunque: il flash chip da 1MB (8Mbit) è offuscato attraverso un pattern XOR; il dev lo ha scoperto facendo cosi:

- collegato la console via jtagger e scoperto che è protetta; nello specifico la CPU permette 3 livelli di protezione (chiamati RDP levels):
level 0 = nessuna
level 1 = lettura flash CPU protetta ma alcuni strumenti di debug permessi come il RAM dumping
level 2 = impossibile qualsiasi forma di debug

- la nostra console ha una protezione level 1;
- dumpato il contenuto della RAM (la RAM usualmente contiene dati già decriptati dalla CPU)
- cercato bytes della ROM originale di Super Mario Bros all'interno del dump (trovati!)
- ora il dev ha modificato alcuni bytes nel flash chip scoprendo che il gioco modificato ancora partiva (importante perchè significa che il contenuto del flash chip non è verificato)
- a questo punto ha scritto valori arbitrari nel flash chip per vedere come questi venissero decriptati dalla CPU scoprendo il pattern XOR di offuscamento (offuscare è diverso da criptare); in pratica i bytes originali in chiaro vengono XORati ottenendo bytes differenti: conoscendo la stringa di cifratura XOR si riapplica al contrario e si riottengono i bytes originali. Questo tipo di attacco si chiama "plain text attack" cioè è possibile ricavare il dato offuscato perchè si conosce il valore del dato originale (dump originale di una ROM), se avete visto il film su Turing qualcosa dovrebbe tornarvi

Quindi il flash chip è stato compreso ed è possibile scriverci valori arbitrari grazie alla mancanza di verifica dei dati scritti in esso.

Il firmware originale della CPU non puo'essere letto ma puo'essere riscritto.

Adesso resta da capire se: il flash chip contiene codice modificabile (es. l'emulatore) oppure tutto è gestito dalla CPU; contemporaneamente si cerca un sistema (forse qualche glitch) per dumpare la flash della CPU (cioè il firmware di 128KB, che è diverso dal contenuto dal flash chip da 1MB in quanto risiede all'interno della CPU) anche se protetta.

Il video:

 

Purtroppo la porta usb ha collegati solo i pin dell'alimentazione. Ci vorrebbe comunque una hard mod di collegamento della porta usb al SoC dopo aver riscritto il fw per renderla funzionale direttamente da usb.

 

Si si, hardmoddando si può fare tutto! Oramai questo g&w può essere considerato una sorta di dev board.

 

Grazie a te ! Aggiunto con alcun prove fatte sul campo

Ad ogni modo la ROM di Super Mario contenuta nel G&W è originale e viene patchata "al volo" durante il gioco per dargli tutte le funzioni aggiuntive (vite infinite, ecc).

Ben Heck ha inoltre trovato spazio per mettere una microsd (pare abbia fatto per errore un buco nel case ed ha sfruttato il problema per provare a piazzarci un adattatore SD-microSD); attualmente non è funzionante, l'ha fatto solo per dimostrare che... c'è spazio per mettercelo. In futuro, in una ipotetica hard+softmod, potrebbe tornare utile !

(quell'unico filo attaccato non ha attualmente funzioni, gli altri in basso a destra dovrebbero essere quelli per la connessione seriale) !