昨日のニュースでもお伝えしましたが、PlaystationLandiaで、Andrea1234567890氏がPSP go含むFWが6.10と6.00のPSPで動作するというexploitを発見したことを伝えていました。Hello World表示までとのことで、更にexploitはBMPファイルのようですが…【情報源:PlaystationLandia】

[Google翻訳＋まもすけ翻訳＋勝手に英文修正]

---

[EXPLOIT] discovered new exploit PspGO until fw 6.10
[EXPLOIT]PSP goで動作する新たなexploit発見

With pride we announce that our user Andrea1234567890 has discovered a new exploit for the PSP go and all psp that have fw 6.10.
我々の仲間であるAndrea1234567890氏がファームウェア6.10のPSP goでも動作するexploitを発見したようです。皆さんに今回こうしてお知らせできることを誇りに思います。

This exploit is just a Hello World, but in the future that could open new doors for any hen.
このexploitではHello Worldを表示するだけですが、将来的にはHENへと発展できる可能性を秘めています。

We provide information on this exploit:
このexploitについての詳細は以下です。
Info:
exploitについての情報:
* Up to 10.2 kb you can create the h. Bin after crashing.
* クラッシュ後に10.2kバイトまでのh.binファイルを読み込みます。
* This is an exploit that starts the hello world in few seconds.
* exploitは発動数秒後にHello Worldを表示します。
* This only works on 6.00 and 6.10 on all psp (in 1000 and 2000 is more difficult to start, after many attempts)
* ファームウェアが6.00と6.10のPSP全機種で動作します(PSP-1000と2000では起動しにくいようです)。
To Read More we released two videos showing there ‘s exploits.
さらに情報がほしい方はexploitが動作している動画をご覧ください。

---

下手くそな(または肝心なところを故意に見せないよう隠匿するために下手くそっぽく撮影したか？)動画のリンクは割愛します。

まもすけも6.10のPSP goで試しました。確かにフリーズはします。フリーズ後ブルートゥースインジケータなどが一斉に点灯したと同時に電源が落ちるのも確認しました。
ただし、何をやってもルートに置いたらh.binを読みにいきません。したがって動画にあるようなHello Worldなどというものは全く表示しませんでした。
何かコツがあるのかと思い、以下のことは試しました。
・exploit並びにh.binをPSP go内蔵メモリーとメモリースティックに置いてみる。
・言語表示を英語やスペイン語に変えてみる。
・文字セットをUSなど日本語ではないものに変えてみる。
何をしても、フリーズして電源こそ落ちるのものの全くh.binを読み込むそぶりもみせません。
exploitらしいBMPファイルをバイナリエディタで覗いてみましたが、exploitらしいコードっぽいものも見当たりません。

BMPファイルはバイナリで書き換えると画像の中のドットの色が変わります。ある意味変えたところは画像で一目瞭然として分かる状態になります。ファイルとして変えてはいけない(BMPファイルが壊れてしまうような)部分以外であればコードを埋め込むことは可能でしょう。まもすけもBMPファイルを1バイトづつ変えてはどういう動作をするのか確認したりしてみたことがありましたが、どこを変えても画像内のドット色が変わるかファイルが破損するかのどちらかでした。

以前PSPの公式6.10ファームウェアにBMPファイルでクラッシュするバグが発見された(ゲーム最新情報 2009年10月16日のニュース参照)際にwololo氏はBMPファイルでのフリーズについて『BMPはアルファチャンネルがないためexploitにはなり得ない』(ゲーム最新情報 2009年10月19日のニュース参照)と解説していました。exploitに詳しいwololo氏の言葉には重みがあります。なぜかというのを解説するには画像フォーマットの仕組みを知らないとできないのでやりませんが、フリーズこそするものの任意のコードが実行できないのであればexploitへの発展は見込めないということになってしまいます。

少なくとも今回同梱されていたh.binファイルは全く意味をなしていませんでした。やり方が間違っているのかもしれませんが、コメントでフリーズ報告は頂いているものの、Hello World表示に成功したという報告はありません。HENに発展などと大風呂敷は聞かせていだだきましたしソニーも6.20で対策をしてきたようですが、今後の発展については疑問符です。

PSPにexploitが発見されたものの最後までセーブデータが公開されることなくソニーに対策されフェードアウトしたグリップシフトに引き続き、またまた最近(既に対策されてしまってますが)公開されたMercury exploit。
性懲りもなく自己所有UMDでもexploitが存在するのか、検証シリーズ第3段はMercuryこと、日本版『［HG］ハイドリウム』です。

関連記事
・PSPのGripShift 日本版にも脆弱性が存在するのか検証してみた
・Pursuit Force- Extreme JusticeでもPSPのexploitが見つかるか？

検証するためだけに［HG］ハイドリウムを購入しました。

Mathieulh氏とFreePlay氏のセーブデータ(US版とEU版)を移植してみました。すべてのパターンで試しましたが、結果は同じでセーブデータをロード後フリーズして電源が落ちます。

YouTube: ［HG］ハイドリウム” Japanese version of PSP”Mercury” have an exploit?
httpv://www.youtube.com/watch?v=qh3xrXpJdSg

メモリースティックのルートにHello Worldファイルを置いてみたりしましたが、全く読みに行かずフリーズします。exploitではないセーブデータの場合は読み込み後データが壊れているとエラーが出るので脆弱性は存在しそうな感じですが、やはり日本版［HG］ハイドリウムは飛んでいくアドレスが異なるようです。

バイナリエディタでexploitセーブデータを覗くと分かりますが、US版とEU版とはやはり若干データが異なります。日本版もそこがクリアできればなんとかなりそうな気がします。まもすけにはできませんけどね。
セーブデータはSEDで復号/暗号化可能です。力量のある方なら完全移植可能かと思います。

eLoaderがリリースされることが期待されていたFreePlay氏のexploitはPSPの最新ファームウェア6.20で対策されて起動しなくなってしまっていました。
PSP go発売後わずか数日で発見されたexploitは事の進展がないままに終焉を迎えたことになります。ゲームのセーブデータを使ったexploitを発見したFreePlay氏は、プレイステーションストアからゲームが削除されダウンロード購入不可となる自体を想定しゲーム名を明かさないようにしていたにも関わらずソニーにファームウェアアップデートで対策されてしまった事に驚きを隠せないようです。
彼はどのような思いでいるのでしょうか。FreePlay氏の言動を追ってみました。【情報源:YouTube: PSP Go: Firmware 6.20 released – the exploit was patched…】

---

You need firmware 6.10 or below, and the game of course. The exploit was patched in 6.20, and the PSN version of the game was updated to require 6.20.
6.10以下のFWであることが必要です。もちろんゲームも必要です。ただし、exploitは6.20でパッチで修正されてしまいました。
The eLoader isn’t happening at all unless I can get a 6.10 firmware dump from the Go, which this exploit can’t do. It would probably be best to wait until an XMB-based exploit comes along… game-based exploits are too easy to block.
PSP goの6.10ファームウェアがダンプできていないためeLoader(Homebrewローダー)は全く進展していません。exploitが役に立っていない状態です。どうもXMB上で動作するexploitが発見されるのを待つのがベストのようです。ゲームをベースにしたexploitではあっけなくブロックされて終ってしまいます。

---

もしこれがカーネルモードexploitでHENへの進展が見込まれる物であったならば少なくとも6.10以下のPSP-3000での活用の道もありました。しかしArcher Macleans Mercury(セーブデータがないので現時点では無意味ですが日本名は【Hg】 ハイドリウムです)はユーザーモードexploitであったためeLoaderを今更開発したところで需要がないどころかハッカーの目標としては少し寂しいでしょう。やはり最新のFWで最大限の結果(CFWの導入)を目指さないとハッカーとしての自尊心は満たされません。
FreePlay氏はexploitを公開に踏み切った理由についてアーカーブの中にあるreadmeファイルで次のように語っています。

---

The exploit was patched in 6.20 (for both UMD and PSN), so there’s really no reason to hide it anymore.
exploitは6.20でパッチされていました(UMD版もPSNダウンロード版も両方とも起動しません)。そのためこれ以上非公開にしておく理由が無くなりました。
There are more exploits in hiding; I’m not going to say a word about those, so don’t even bother asking. No amount of bugging me will get you any information.
まだ隠しているexploitはあります。そのゲーム名については話す気は毛頭ありませんので質問しないようにしてください。中傷してもいい事ありませんよ。

---

FreePlay氏の動画の0:15あたりでお分かりの通り、撮影されている範囲で13種類のゲームを内蔵メモリーに入れています。当然それらは購入したということになりますが、PSP go発売後に購入したゲーム数にしてはちょっと多いです。Archer Macleans MercuryはPSP初期のころのゲームですからわざわざダウンロード購入したというのは考えにくいです。当然exploitが存在するから購入したのでしょう。UMDですでに販売されているゲームをCFW機で調査開発をしてからのダウンロード購入だとするとまだexploitの持ち駒が残っていることは容易に想像できます。彼のコメントからもそれは間違いないでしょう。

もう一つ、PSP goで起動するexploitが見つかっています。PSP-3000ハックの立役者、ChickHENを開発したTeam Typhoonです。こちらはカーネルモードexploitとなっていて、CFW導入も可能です。メンバーの一人、Davee氏はFreePlay氏のexploitがソニーにこっそり対策されてしまった後、同じように対策されたというコメントは一切していませんのでこちらは(多分)まだ大丈夫なようです。ただ、exploitを公開する事でソニーに対策される事を恐れて非公開としているのはFreePlay氏と状況は似ています。現在の状況はどうなっているのか、YouTubeのDavee氏のコメントを追ってみました。【情報源:Youtube: PSPgo 6.10 CFW/HEN Proof of Concept】

---

As a note to everyone, Sony clearly searched user mode exploits in PSN games cause they patched 4 games in total…
皆さんにお知らせしておきたいのですが、ソニーはプレイションストアで販売しているゲームのユーザーモードexploitを間違いなく調査しています。その証拠に全部で4つのゲームをパッチしています。

There is more to a HEN than a user mode exploit. User mode basically lets you do NOTHING. It’s a whole lotta crap.
ユーザーモードexploitよりもHEN(Homebrew Enabler)のほうが重要です。ユーザーモードは基本的には無意味です。クソのフタにもなりません。

---

彼の場合コメント欄が結構荒れていて、彼自身の発言もそうですがバカクソアホ呼ばわりがやたら多いのが笑えます。
Davee氏の調査によると、Archer Macleans Mercury以外にもなんらかの対策されたゲームが3つは存在するようです。
ということは、FreePlay氏のArcher Macleans Mercuryが対策されてしまったのはソニーの弛まぬ努力の結果ということになります。FreePlay氏の動画でMACアドレスが表示されていたのでそこからプレーステーションアカウントを割り出し購入履歴から狙い撃ちしたのかと心配していましたがそうではないようです。
今回Team Typhoonが発見したexploitがソニーに対策されなかったのは単なる偶然かもしれません。そうなると今後のアップデートでTeam Typhoonのカーネルモードexploitが非公開のうちに対策されてしまう可能性も捨てきれません。

FreePlay氏が言うように、PSP goのハッキングを目標に据えるならばChickHENのようにXMB上で動作するexploitを探していかざるを得ないのは間違いないでしょう。ちょっとハードル高いです。