PSPにexploitが発見されたものの最後までセーブデータが公開されることなくソニーに対策されフェードアウトしたグリップシフトに引き続き、またまた最近(既に対策されてしまってますが)公開されたMercury exploit。
性懲りもなく自己所有UMDでもexploitが存在するのか、検証シリーズ第3段はMercuryこと、日本版『［HG］ハイドリウム』です。

関連記事
・PSPのGripShift 日本版にも脆弱性が存在するのか検証してみた
・Pursuit Force- Extreme JusticeでもPSPのexploitが見つかるか？

検証するためだけに［HG］ハイドリウムを購入しました。

Mathieulh氏とFreePlay氏のセーブデータ(US版とEU版)を移植してみました。すべてのパターンで試しましたが、結果は同じでセーブデータをロード後フリーズして電源が落ちます。

YouTube: ［HG］ハイドリウム” Japanese version of PSP”Mercury” have an exploit?
httpv://www.youtube.com/watch?v=qh3xrXpJdSg

メモリースティックのルートにHello Worldファイルを置いてみたりしましたが、全く読みに行かずフリーズします。exploitではないセーブデータの場合は読み込み後データが壊れているとエラーが出るので脆弱性は存在しそうな感じですが、やはり日本版［HG］ハイドリウムは飛んでいくアドレスが異なるようです。

バイナリエディタでexploitセーブデータを覗くと分かりますが、US版とEU版とはやはり若干データが異なります。日本版もそこがクリアできればなんとかなりそうな気がします。まもすけにはできませんけどね。
セーブデータはSEDで復号/暗号化可能です。力量のある方なら完全移植可能かと思います。

eLoaderがリリースされることが期待されていたFreePlay氏のexploitはPSPの最新ファームウェア6.20で対策されて起動しなくなってしまっていました。
PSP go発売後わずか数日で発見されたexploitは事の進展がないままに終焉を迎えたことになります。ゲームのセーブデータを使ったexploitを発見したFreePlay氏は、プレイステーションストアからゲームが削除されダウンロード購入不可となる自体を想定しゲーム名を明かさないようにしていたにも関わらずソニーにファームウェアアップデートで対策されてしまった事に驚きを隠せないようです。
彼はどのような思いでいるのでしょうか。FreePlay氏の言動を追ってみました。【情報源:YouTube: PSP Go: Firmware 6.20 released – the exploit was patched…】

---

You need firmware 6.10 or below, and the game of course. The exploit was patched in 6.20, and the PSN version of the game was updated to require 6.20.
6.10以下のFWであることが必要です。もちろんゲームも必要です。ただし、exploitは6.20でパッチで修正されてしまいました。
The eLoader isn’t happening at all unless I can get a 6.10 firmware dump from the Go, which this exploit can’t do. It would probably be best to wait until an XMB-based exploit comes along… game-based exploits are too easy to block.
PSP goの6.10ファームウェアがダンプできていないためeLoader(Homebrewローダー)は全く進展していません。exploitが役に立っていない状態です。どうもXMB上で動作するexploitが発見されるのを待つのがベストのようです。ゲームをベースにしたexploitではあっけなくブロックされて終ってしまいます。

---

もしこれがカーネルモードexploitでHENへの進展が見込まれる物であったならば少なくとも6.10以下のPSP-3000での活用の道もありました。しかしArcher Macleans Mercury(セーブデータがないので現時点では無意味ですが日本名は【Hg】 ハイドリウムです)はユーザーモードexploitであったためeLoaderを今更開発したところで需要がないどころかハッカーの目標としては少し寂しいでしょう。やはり最新のFWで最大限の結果(CFWの導入)を目指さないとハッカーとしての自尊心は満たされません。
FreePlay氏はexploitを公開に踏み切った理由についてアーカーブの中にあるreadmeファイルで次のように語っています。

---

The exploit was patched in 6.20 (for both UMD and PSN), so there’s really no reason to hide it anymore.
exploitは6.20でパッチされていました(UMD版もPSNダウンロード版も両方とも起動しません)。そのためこれ以上非公開にしておく理由が無くなりました。
There are more exploits in hiding; I’m not going to say a word about those, so don’t even bother asking. No amount of bugging me will get you any information.
まだ隠しているexploitはあります。そのゲーム名については話す気は毛頭ありませんので質問しないようにしてください。中傷してもいい事ありませんよ。

---

FreePlay氏の動画の0:15あたりでお分かりの通り、撮影されている範囲で13種類のゲームを内蔵メモリーに入れています。当然それらは購入したということになりますが、PSP go発売後に購入したゲーム数にしてはちょっと多いです。Archer Macleans MercuryはPSP初期のころのゲームですからわざわざダウンロード購入したというのは考えにくいです。当然exploitが存在するから購入したのでしょう。UMDですでに販売されているゲームをCFW機で調査開発をしてからのダウンロード購入だとするとまだexploitの持ち駒が残っていることは容易に想像できます。彼のコメントからもそれは間違いないでしょう。

もう一つ、PSP goで起動するexploitが見つかっています。PSP-3000ハックの立役者、ChickHENを開発したTeam Typhoonです。こちらはカーネルモードexploitとなっていて、CFW導入も可能です。メンバーの一人、Davee氏はFreePlay氏のexploitがソニーにこっそり対策されてしまった後、同じように対策されたというコメントは一切していませんのでこちらは(多分)まだ大丈夫なようです。ただ、exploitを公開する事でソニーに対策される事を恐れて非公開としているのはFreePlay氏と状況は似ています。現在の状況はどうなっているのか、YouTubeのDavee氏のコメントを追ってみました。【情報源:Youtube: PSPgo 6.10 CFW/HEN Proof of Concept】

---

As a note to everyone, Sony clearly searched user mode exploits in PSN games cause they patched 4 games in total…
皆さんにお知らせしておきたいのですが、ソニーはプレイションストアで販売しているゲームのユーザーモードexploitを間違いなく調査しています。その証拠に全部で4つのゲームをパッチしています。

There is more to a HEN than a user mode exploit. User mode basically lets you do NOTHING. It’s a whole lotta crap.
ユーザーモードexploitよりもHEN(Homebrew Enabler)のほうが重要です。ユーザーモードは基本的には無意味です。クソのフタにもなりません。

---

彼の場合コメント欄が結構荒れていて、彼自身の発言もそうですがバカクソアホ呼ばわりがやたら多いのが笑えます。
Davee氏の調査によると、Archer Macleans Mercury以外にもなんらかの対策されたゲームが3つは存在するようです。
ということは、FreePlay氏のArcher Macleans Mercuryが対策されてしまったのはソニーの弛まぬ努力の結果ということになります。FreePlay氏の動画でMACアドレスが表示されていたのでそこからプレーステーションアカウントを割り出し購入履歴から狙い撃ちしたのかと心配していましたがそうではないようです。
今回Team Typhoonが発見したexploitがソニーに対策されなかったのは単なる偶然かもしれません。そうなると今後のアップデートでTeam Typhoonのカーネルモードexploitが非公開のうちに対策されてしまう可能性も捨てきれません。

FreePlay氏が言うように、PSP goのハッキングを目標に据えるならばChickHENのようにXMB上で動作するexploitを探していかざるを得ないのは間違いないでしょう。ちょっとハードル高いです。

PSP-ITAが、PSPの最新ファームウェア6.20でFree Play氏が発見したPSP goで動作するユーザーモードexploit(ゲーム最新情報 2009年10月3日のニュース参照)が対策されていたことを伝えていました。Free Play氏はexploitを公開していなかったばかりか使用するゲーム名も明かしていなかったのに、です。【情報源:PSP-ITA】

[Google翻訳＋まもすけ翻訳＋勝手に英文修正]

---

The firmware 6.20 locks the exploits by Freeplay
Freeplay氏のexploit ファームウェア6.20で使用不可に
　>Sony fixed bug in new firmware
ソニーは新ファームウェアでバグ修正を実施

The new firmware 6.20 has not only introduced the Comic Reader, for now only usable by Japanese users, and a new type of protection for games and demos (as it was ascertained by the demonstration version of God Eater). From his YouTube channel, Freeplay lets us know that his exploits are no longer running on new version of systemsoftware.Sony is therefore run for cover and has promptly corrected the bug that the hackers had managed to find.
PSPの新ファームウェア6.20は日本のユーザー限定ながらコミックリーダー機能を新たに実装し、さらにゲーム(体験版含む)での新プロテクト(God Eater体験版で確認されています)をも実現したようです。YouTubeのFreeplay氏のチャンネルで、彼の発見したexploitは最新のシステムソフトウェアでは起動しないことを伝えていました。ソニーはハッカーがようやく見つけた脆弱性のバグに蓋をしてしまったことになります。
Hopes to run homebrew on the PSP Go are so vanished completely? We will keep you informed in case of updates.
PSP goでHomebrewの希望は完全に潰えたのでしょうか？また新たな情報があればお伝えしていきます。

Quote:
引用
Larry51809
Hey Freeplay have you tryed the exploit on firmware 6.20?
Freeplayさんへ ファームウェア6.20でexploit試したの？
FreePlay
Yes
The exploit has been blocked.
試したよ。
exploitはブロックされてた。

---

FreePlay氏はeLoaderどころの騒ぎでは無くなってしまいました。

FreePlay氏はexploitの存在を公表したあとひたすら利用したゲーム名は隠してここまで来ました。公開していないのですから誰も知らないはずです。

この記事のコメント欄で少し話題にしましたが、FreePlay氏が利用したゲームを知っているというユーザーがセーブデータの名前にaaaaa…を(多分)連打していれたがまともなバッファーオーバーフローにならなかったとありました。本当に同一のゲームだと仮定すると、名前にaaaaa…を入れても再現できなかった(もちろんLAN.stフォーラムですからPSPLinkでレジスタは確認したのでしょう)ようです。ということは既に一般に知られている方法でオーバーフローさせたのではないexploitなのかもしれません。

ではどうやってソニーは対策したのでしょうか。
可能性としては
1：wololo氏のようにファジングの手法を利用して手当たり次第調べたものと偶然共通のバグだった。
2：exploitが本当はaaaaa…のスパルタァァァ方式で、ダウンロード販売されているゲームをしらみつぶしに調べた。
3：FreePlay氏の身元を洗い出し、PlayStationストアでのIDを把握してダウンロード購入したリストをもとに対策を施した。
4：密告者がFreePlay氏の周辺にいる。

一番怖いのは3番ですね。
おそらく本人にも対策された理由が分からないのではないでしょうか。

気になるのはTeam Typhoonが発見したPSP goのカーネルモードexploitはどうなのか、ということです。Team Typhoonが動画を公開してから1週間ちょっとしか経過していませんからさすがに対策は出来ないと思いますが、この調子だと次のアップデートで対策してきたりして。

Pursuit Force Extreme Justiceのクラッシュバグまで対策するくらいですから、今のソニーの力(執念？)は侮れません。あっぱれとしか言いようがありませんね。