デイテルがリリースしたAction Replayデモ版は公式アップデータと同じ暗号化と署名を利用して起動しているようですが、PSPのハッカーでもあるwololo氏が早速今回のPAR(プロアクションリプレイ)が意味するものを分かりやすく解説してくれていました。【情報源:Wagic, Magic the Gathering, and PSP homebrews】
Confirmed:Datel hacks all models of PSP & PSPGo for Christmas
確定情報:PSP全モデルとPSP goをデイテルがハック
Before PSPGo owners start jumping of joy all over the place, let me be clear: this information is probably not useful for you if you thought you would get the joys of homebrews and underground PSP on your PSPGo or on your PSP3000 or on your TA88v3.
PSP goオーナーが歓喜にあふれてしまう前にハッキリさせておかなくてはなりません: これからお話しする情報はPSP goやPSP-3000、TA-088v3でHomebrewとかあれやこれやとかが出来るのだと喜んでいる皆さんにとっては全然朗報ではありません。
A few days ago Datel announced a new Action Replay software, compatible with all models of PSPs, including the PSPGo. The PSP scene was quite suspicious regarding this announcement. Today the product page features a Demo that anyone can download and try. I tried this Demo, other people tried the full product, and, yes, Action Replay runs on an official firmware.
数日前にデイテルはPSP go含む全PSPに対応するとうたった新プロアクションリプレイを発表しました。しかしPSP界はその発表に疑いの眼差しを向けていました。そんなときに今日、製品サイトにデモ版のダウンロードが案内され誰でもダウンロードして試すことができるようになったのです。私はデモ版を使ってみました。製品版を使った人もいることでしょう。そう、確かにプロアクションリプレイは公式ファームウェアで起動するのです。
YouTube: Datel’s Action Replay on PSP OFW 6.20
It means that Datel wasn’t bluffing, and it also means that their code is signed. Only Sony is supposed to know how to sign EBOOTs, so we could think that Datel has some kind of agreement with Sony, but the documentation of the Action Replay is clear on that part:
製品自体は署名付きです。今までならソニーにしかEBOOTファイルへの署名方法が分からなかったはずですので、まるでデイテルがソニーのお墨付きを得たようにしか思えません。しかしプロアクションリプレイの説明にはこんな一文があります:
Action Replay PSP is a 100% unofficial product and is NOT sponsored, endorsed or approved by Sony, nor any games developer or publisher.
プロアクションリプレイPSPは100%非公式製品で、一般的なゲームメーカーの製品のようなメーカーソニーのライセンス製品でも保証された製品でも承認された製品でもありません。
To further confirm this, after installing the demo, you can have a look at your memory stick: Action Replay gets installed in the “UPDATE” subfolder of GAME, which is usually reserved for official Sony updates. It therefore means that Datel has figured out how to encrypt/sign EBOOTS, but needs their product to be in the UPDATE folder for some reason (easier to encrypt? Use of some specific access granted to this folder?)
さらに調べてみたところ、デモ版をインストール後メモリースティックの中をのぞいてみると、プロアクションリプレイは普段ソニーの公式アップデータを入れておくためのGAMEフォルダ内のUPDATEフォルダにインストールされていることが分かりました。これが意味するのはデイテルがEBOOTに署名して暗号化する方法を解明した、という事実です。ただし、何らかの理由があってPARを必ずUPDATEフォルダに入れなければならないようです。(暗号化が簡単?このフォルダだけ特殊なアクセス方法がある?)
Now, this is not very useful for hackers (and even less for pirates, ha). Yet another encrypted EBOOT to analyze will not bring anything. However, Action Replay allows users to patch memory with codes, so maybe something can be crafted in order to inject unsigned code in the PSP through Action Replay, which could unlock (at least) user mode (and therefore homebrews).
何にせよ、今回のPARはハッカーにとっては有益なものではありません(もちろん違法コピー野郎にもですよ)。暗号化されたEBOOTを解析しても無意味です。それでもプロアクションリプレイはチートコードでメモリーにパッチができるわけで、このプロアクションリプレイを使えばPSPに非署名コードを入れ込むための何らかのものが作られているのでしょう。少なくともユーザーモードのロックは解除しているのです(当然Homebrewも起動できるでしょう)。
For the time being, it seems Datel has done what hackers have been trying to do for almost 5 years: figuring out the PSP’s encryption process. I’ll quote Silverspring here:
ここしばらくは、多くのハッカーが5年近くもアタックしてきたPSPの暗号化プロセスの解明をデイテルだけが成し遂げたことになるでしょう。ここでSilverspring氏の言葉を引用してみます。
Seems they have done it for real. If so, it’s finally game over for SCE. There’s nothing they can do to stop it.
彼らが成し遂げたことは真実のようです。もし本当ならSCEにとってはついに訪れたゲームオーバーです。
Probably fw updates will attempt to block it, however all Datel need to do is release an new update. They can sign any code they want now.
おそらくソニーはファームウェアアップデートで阻止しようとしてくるでしょう。デイテルはそこでPARをアップデートをしないと動作しなくなる恐れがあります。しかし彼らは自在に署名を扱えるのです。
They’ve finally done what was the ‘Holy Grail’ of the PSP scene. Pretty impressive work
デイテルが投入したのはPSPの最終兵器です。ホントにすごいことです。
Who knows, maybe Datel will now come up with their own Custom firmware…
そして今後、デイテルが独自のカスタムファームウェアを発表する可能性も出てきました。
まもすけが試したところ、PSP/GAME/UPDATE以外にPARのEBOOT.PBPを置いても破損データになるだけで起動しませんでした。とにかくUPDATEという名称のフォルダに入れる必要があるようです。
試しにUPDATEというフォルダ名を変更してみましたが、XMBでは破損データと表示されて起動しなくなります。
これは明らかにPARをソニー公式アップデータとPSPが認識して起動していることを意味しています。
よく考えたら公式ファームウェアをアップデートする際はPSP/GAME/UPDATEにEBOOT.PBPを配置させるわけで、そのアップデータ起動の仕組みを解析できれば署名から暗号化まで自在に操ることができますね。更にはHomebrewのEBOOTも起動できるはずです。
さらに一歩進めれば、wololo氏の言う通り公式ファームウェアのPSPでカスタムファームウェアを直接インストールするためのアップデータが起動できる可能性もでてきたことになります。つまりはexploitもHENも全く不要で何でも出来てしまうかもしれないのです。デイテルの開発した方法がカーネルモードへのアクセスも可能な仕様だとしたら…です。理論上はCFWのインストールも出来るのではないでしょうか。
そもそも暗号化の鍵を解いてしまったのであればexploitの発見が前提だったいままでのハックとは全く方向性が異なる究極のハッキングとも言えます。ソニーもこんな事態は全く予想していなかったことでしょう。次のソニーの一手がPARをブロックできるのかどうか、注目していきたいと思います。