PSP Hack一覧

PSPファームウェアの脆弱性の探し方〜PSP goのexploitをみんなで探せ!

PSP goでの脆弱性発見に向け、wololo氏が自身のブログでPSPLinkを使ったexploit確認方法の記事を掲載していました。PSP goのハックに向けてゲームを使わないexploitを探してみませんか?【情報源:Wagic,Magic the Gathering, and PSP homebrews

※字数制限で一部リンク削除してます


Looking for vulnerabilities in the PSP Firmware
PSPファームウェアの脆弱性を探す

I’ve described in a previous article how to look for exploits in games on the PSP. But as you may or may not know, the new PSPGo’s business model made game exploits useless for the average user.
以前の記事にPSPのゲームでのexploitの見つけ方について書きました。ただ、ご存じの事と思いますがPSP goのようなモデルの場合一般ユーザーにとってゲームを使用したexploitというのは意味がありません。

Let me explain: if an exploit is found (and revealed) in a Game on the PSP, Sony will simply remove the game temporarily from the PSN Store,and it will be available again only if the game’s developers fix the issue. So the only people who will be able to benefit the exploit will be those who downloaded the game from the PSN Store before the exploit was made public. (unless you didn’t know, the PSPGo has no UMD drive,and therefore all games for this machine must be bought on the PSN)
つまりこういうことです:仮にPSPのあるゲームでexploitが見つかった(または公開された)としても、ソニーとしては一旦PSNストアからゲームを削除し、開発者がexploitの原因となった問題を修正したのち再度ダウンロードできるよう公開すれば良いのです。そのためexploitの恩恵に与れるのはそのexploitが公開される前にPSNストアからゲームをダウンロードしていたユーザーに限られます。(万が一ご存知ない方のために書いておきます。PSP goにはUMDドライブがないためゲームは必ずPSNでダウンロード購入する必要があります。)

Yep, that’s not cool, and it explains why Freeplay doesn’t want to make the recent hack of the PSP Go public (the exploit is still useful for hackers as it allows to run unsigned code on the PSPGo, and therefore analyze its firmware more precisely). It also explains why we should now be looking for vulnerabilities in the PSP Firmware (such as the laughman tiff exploit that led to chickHEN a few months ago) rather than games.
そう、その辺りがイマイチなのです。Freeplay氏が最近発表したPSP goのハックを公開したがらない理由も分かります。(それでも非署名コードをPSP goで実行できるexploitはハッカーにとっては有益です。ファームウェアのより正確な解析にも役立ちます。)また、なぜ今我々がゲームを使わないPSPファームウェア自体のの脆弱性を調査しているのかの理由でもあります。(数ヶ月前に発表された、笑い顔画像のTIFF exploitからchickHENに繋がったのと同様の脆弱性です。)

In this article I will explain how to monitor the PSP Menu with PSPLink. If you haven’t read my previous post on savegames exploits, I suggest you do it, as it is a nice introduction to PSP exploits. Disclaimer: I’m not the best PSPLink user in the world, so this article might be incomplete on some parts.
この記事ではPSPLinkを使ってPSP Menuをモニターする方法について説明します。Savegames exploitについての過去記事をご覧になっていない方は一度目を通してみてください。PSPのexploitについての導入記事にはもってこいだと思います。注意:私はPSPLinkについて世界で一番詳しい、というわけではありません。そのためPSPLinkの記事としては不足な内容かもしれませんのでご了承ください。

YouTube

Setup
準備

Imagine you have a file that crashes your PSP. It can be a video file, an mp3, an image, etc… (I will explain later how you can find or create these files). How would you tell if it can become an exploit or not? Well, as usual, the answer is clear: PSPLink.
PSPをクラッシュさせるファイルがあると仮定します。動画ファイル、mp3、画像などになるでしょう。(そういったファイルの探し方や作り方は後述します。)それがexploitになりうるかどうか、どうすれば分かるのでしょうか?答えは決まっています:それがPSPLinkなのです。

PSPLink is a very usueful tool to analyze the Ram of the PSP. If you don’t have it yet, google for it. I personally have the version included with the minimalist PSPSDK.
PSPLinkはPSPのRAM解析するには非常に有益なツールです。まだお持ちでないならググってみてください。私自身は一番最小限のPSPSDK(開発ツール)に入っているバージョンのものを利用しています。

PSPLink has two parts of interest for this: one that goes on the PSP (basically, an EBOOT, as most homebrews), and two executables that run on the PC (they will display the information sent by the PSP to the PC).
PSPLinkは2つのパーツから構成されています:一つはPSP上で起動させるもの(他のHomebrew同様、基本的にEBOOTファイルとなっている)らそして二つ目はPC上で実行するもの(PSPからPCに送られる情報を表示するもの)です。

Once you have installed PSPLink on your PSP and plugged your PSP to your computer with a USB cable, open 2 command-line windows, in which you will run respectively usbhostfs_pc and pspsh.
PSPLinkをPSPにインストールし、USBケーブルでPSPとPCを繋いだらusbhostfs_pcとpspshを起動させてDOSのコマンドラインウインドウを2つ開きます。

When this is done, you can run the PSPLink EBOOT on your PSP. If everything goes well, pspsh on your computer will display “host0:/” and usbhostfs will say “Connected to Device”. It should look like this:
準備ができたらPSPでPSPLinkのEBOOTを起動します。段取り通りできていればPC上のpspshのウインドウに“host0:/”と表示され、usbhostfsのウインドウには“Connected to Device”と表示されます。このようになるはずです。

psplink2

If you need more information on PSPLink, google for it.
もっとPSPLinkについてお知りになりたい場合はググってみてください。

Running the XMB/VSH
XMB/VSHの起動

Now that’s the interesting part. If you’re a developer, you might know how to run your homebrews’ prx files from there. But how can you access the PSP Menu? Well that’s actually very easy, as you only need to type the two following commands in pspsh:
それではメインイベントです。あなたが開発者の場合はHomebrewのprxファイルの起動方法はご存知でしょう。でもPSP Menuへのアクセス方法は?実はとても簡単なのです。pspshで以下の2つのコマンドを入力するだけです。:

reset vsh

flash0:/vsh/module/vshmain.prx

psplink

And that’s it! Let me tell you, it is way easier than doing it for savegames, as no plugins are required.
以上です!一つだけ言わせてください。今回の方法はゲームのセーブデータで実行するより簡単な方法です。プラグインが不要なのですから。

Test your crash
クラッシュテスト

Then what? Well, you do whatever is needed to reproduce your crash. In my case, I have an mp3 file that crashes the PSP, so on my PSP I go to the music menu, and try to play the files.
それでどうすればいいのでしょうか?あなたがすべきことはクラッシュを再現することです。私の場合はPSPをクラッシュさせるmp3がありますので、PSPのミュージックメニューに行き、ファイルをプレイします。

When the crash occurs, pspsh should display the current state of the registers, and lots of useful information.
クラッシュするとpspshの画面に各レジスタの現在の状況や有益な各種情報が表示されるでしょう。

PSPSH

MIPS…

>From here, what you need is MIPS assembly knowledge, and lots of patience. But I can’t teach you that :) . For the basics, you can still read my article on Savegames, as we are looking for the exact same thing: a way to overwrite $ra
これ以降はMIPSアセンブリの知識が必要になります。忍耐力も必要です。残念ながら私では皆さんにお教えすることができません。基本的なことはゲームのセーブデータに関する私の記事を参考にしてください。正に同じことができればいいのです: つまりは$raレジスタの値の書き換えなのです。

By the way, you need a hacked PSP to run PSPLink, so don’t try this on Official Firmwares.
ちなみに当然のことですが、PSPLinkを起動するためにはCFWを導入したPSPが必要です。公式ファームウェアのPSPでやろうとしないようにしてください。


まもすけがやるとPSPSHで”host0:/”が表示されないんですよね。困った物です。



PSP goはわずか2日でハック Hello Worldまで…弱い、弱すぎるよソニー

ここ最近ではGripshiftのexploitを発見した著名なハッカーであるFreePlay氏が、YouTubeにPSP goをハックして画面に” |o|,go=hacked.sorry,sony. “と表示させる動画を公開していました。【情報源:YouTube


PSP Go (Slightly) Hacked in Two Days. Poor, poor Sony…
PSP Goを2日で(ちょいと)ハック。弱い、弱すぎるよソニー

Sony always seems to be desperately fighting against the homebrew community, trying to block us out of the systems we spent lots of our own cash on. Sadly, these guys really can’t catch a break. I’ve already managed to update an exploit towork on the Go.
ソニーはいつも必死になってHomebrewコミュニティに対峙しているようで、我々がポケットマネーを浪費して開発したシステムをブロックしようとしています。

HERE’S THE BASICS:
以下、基本情報です:

Yes, there are unreleased PSP exploits out there for various games. Yes, they still work, even on the PSP Go.
はい、こちらが色んなゲームで動作する未リリースのPSP用exploitです。そう、現時点でも動作するのです。もちろんPSP Goでも、です。

No, I didn’t discover this exploit. It’s been floating around for a while; it was just never used.
いいえ、このexploitは私が発見したのではありません。しばらく寝かされていていたので使われたことはありません。

NO, I *DO NOT* plan on sharing any useful details about this. I want to see howlong this will fester before Sony finally figures out how to fix it. That meansI won’t be sharing the files or even naming the game I used to do it.
いいえ。これについてはみなさんに公開する予定はあ・り・ま・せ・ん。ソニーが最終的に修正できるまでどのくらい時間をかけてくるのか見てみたいと思っています。多分このexploitが腐るくらい時間がかかるでしょうね。ですのでこのファイルは公開しませんし、何のゲームかも公開しません。

Yes, it works on all systems and all firmwares.
はい、このexploitは全PSPの全ファームウェアで動作します。

No, it’s not going to lead to custom firmware, piracy, or a Pandora for the Go.It can’t write to the flash, and it even seems to be unable to overwrite the system settings, which was always unblocked before on the older systems. It’s user-mode only.
いいえ、カスタムファームウェアにはつながりません。PSP Goのパンドラにもつながりません。このexploitではflashの書き換えは不可能です。システム設定の書き換えもできないようです。過去のシステムでもそれはできていませんでしたよ。つまりはユーザーモードのみです。

Oh, and if you think this is a hoax… look at the video, and notice the version.txt file from OFW 6.10.
そうそう、悪ふざけだと思われる方は…ビデオを見て下さい。version.txtファイルが公式6.10のものだと分かるでしょう。


・・・FreePlay氏はソニーがファームウェアをリリースするたびに新ファームでexploitを動作させる動画を公開して挑発するつもりなのかもしれません。
対象のゲームのことを”various games”と言っているので複数のゲームで動作する仕組みがあるのかもしれません。

そのFreePlay氏が公開したexploitが本物なのかどうかアヤシいという声に答えて今度はPSP goの最新FW6.10でHello Worldを表示するビデオを公開していました。【情報源:YouTube


Just in case anyone doubted that the exploit was real… here’s a Hello World running on a PSP Go. It will work on any firmware and any PSP hardware version.
exploitが本物かどうか疑っているようですので…PSP GoでHello Worldが起動している動画をどうぞ。exploitはPSPのファームウェアやハードウェアのバージョンにかかわらず動作すると思います。


Hello Worldとともに表示されている内容は
Hello World for PSP firmwairs 1.00-6.10
Now for the PSP gOwned!
Exploit by Anonymous
SDK by Freeplay
Greets and thanks to everyone who deserves it.
You Know who you are ;)

クレジットなので翻訳はしませんが、内容としては
・Hello WorldはPSPファームウェア 1.00-6.10用
PSP goで動作
・SDKはFreePlay作
です。

その後PSボタン(HOMEボタン)を押した状態であるゲーム終了するかどうかの表示がされていますので、MOHH exploitと同じくゲーム中に非署名自作コードを起動させることが出来るexploitのようです。ということはこのままなら最大発展形でもeLoader(Homebrewを起動させるローダー)です。

最後に必ず出るであろう質問に対して次のように書いてありました。
When will it be released?
Never.
|o|.
リリースはいつですか?
ありません。
\(^o^)/

また、exophaseではソニーがパンドラ対策でバッテリーを内蔵する対策に腐心してセキュリティ向上を疎かにしたと言及していました。【情報源:exophase


PSPgo Hacked, Says Hello World
PSP goがすでにハック、Hello World

While Sony went to great lengthstowards preventing a repeat of the Pandora battery hack on PSPgo, they evidently forgot to patch up some existing security vulnerabilities on the software side. Mere days after the launch of the new hardware,homebrew developer FreePlay has managed to run unsigned code on it. Above is a video clip showing off his efforts in the form of a hello world proof of concept.
ソニーが時間をかけてPSP goでパンドラバッテリーハック対策をしていた間、どうやらソフトウェア側でセキュリティの脆弱性をパッチするのをおろそかにしていたようです。新ハードウェアのリリースからほんの数日で、Homebrew開発者のFreePlay氏はPSP goで非署名コードを実行できるようにしてしまいました。ビデオではHello Worldを表示することでそれを証明しています。

Taking advantage of modified save data files, the exploit is restricted to usermode, meaning modifying existing files on flash is out of the question. That means no custom firmware, kids. Still impressive nonetheless and perhaps a bit embarrassing for Sonys engineering crew, considering how quick this feat was pulledoff. Now, heres the kicker: FreePlay has no plans to share this one with the public, but at least you can rest easy knowing that homebrew code can be run on thego.
セーブデータのファイルを改造したようですが、このexploitはユーザーモードのみでflashにあるファイルの書き換えは全くできないようです。つまり、カスタムファームウェアを、という話にはならないということですよ。とはいえ今回の速攻偉業はソニーのエンジニアにとってはバツの悪い話です。さて、今回の主役であるFreePlay氏によると、このexploitを一般公開する予定はないそうです。しかし少なくともPSP goでHomebrewのコードを起動させることができる事は明らかになりました。


過去のソニーの対応の歴史から考えると、FreePlay氏がexploitとなるセーブデータを公開したとしてもシステムソフトウェアアップデートで早々と対策してくることは確実です。日本でPSP goが発売される頃には対策ファームウェアが出てきているという事態も考えられます。
とは言うもののPSP goでHomebrewの起動は確実に可能であることが分かっただけでも大きな進歩です。FereePlay氏がSDKも作っているようですからね。これで世界中が期待を持って脆弱性の発見に臨むことになるでしょう。
ソニーのJohn Koller氏曰く鉄壁セキュリティであるはずのPSP goは、海外で発売後わずか数日で、さらに日本では発売前にハック可能なことが明らかになりました。
弱い、弱すぎるよ、ソニー…



Le patch iR Shell for 5.50 GEN-B2リリース〜CFW5.50GEN-B2でiR Shell

PSPGENで、Yoshihiro氏がiRShellをCFW5.50GEN-B2に対応させるLe patch iR Shell for 5.50 GEN-B2をリリースしたことを伝えていました。【情報源:PSPGEN

[Google翻訳+まもすけ翻訳]


The patch for iR Shell 5.50 GEN-B2 is available!
5.50 GEN-B2のiR Shellパッチ登場

Yoshihiro launches a patch to use iR Shell on Custom Firmware 5.50 GEN-B2.
Yoshihiro氏はカスタムファームウェア5.50 GEN-B2でiR Shellを利用するためのパッチをリリースしました。

Who does not know iR Shell? This is probably the best shell that holds the PSPand it replaces more than advantageous to the Sony XMB. In addition to being complete and allow massive amounts of things, it gives the PSP a multitasking whichis so lacking in original XMB (who said mp3 in game?)
iR Shellを御存じない方っています?PSPのXMBに代わる、最高の性能を有するシェルのことです。完成されつくした多機能性に加え、オリジナル御XMBにはないマルチタスク機能を実現させているのです。(ゲーム中にmp3再生とかですね)

iR Shell

We announced yesterday the arrival of this patch, developed by Yoshihiro, whichfinally allows to use the shell missed on Custom Firmware 5.50GEN-B.
昨日お伝えしたようにYoshihiro氏作、カスタムファームウェア5.50GEN-BでiR Shellを使用するためのパッチが届きました。

Reminder:
注意:
To run iR Shell 5.00, it was found that prevented him from working on firmware GEN. To date, the various existing methods all stumbled on some points such as the launch of ISO since IRShell. but this has been resolved by our friend Yoshihiro. We are therefore in line a patch that corrects the current version of IRSHELL 5.00 to have full use in the Custom Firmware 5.50GEN B2.
iR Shell 5.00をGENのカスタムファームウェアで起動するためには障害がありました。iR Shell経由でISOが起動しなかったりなどいろんなところでつまずきました。しかし友人である Yoshihiro氏が現在では解決してくれています。ということで最新バージョンのiR Shell 5.00をカスタムファームウェア 5.00GEN-B2でフルに活用できるようにするためのパッチをここに紹介します。

To run iR Shell, you can run a program on your PSP, which will automatically patch it so that it works on 5.50GEN.
iR Shellを起動するにはPSPで本ブログラムを起動してください。自動的に5.50GENで動作するようにパッチが施されます。

iR Shell before patching

Here is the screen that appears when you try to launch iR Shell before thepatch since FC 5.50GEN:
パッチをする前に5.50GENでiR Shellを起動すると表示される画面です。
Unsupprted firmware
Firmware version not supported detected Turn off the PSP!
サポートしていないファームウェアが検出されました。PSPの電源をお切りください!

What this patch looks like he?
修正プログラムはどんなもの?

press X
Simple and effective: a support on …
操作はカンタン: Xボタンを押すだけ
and Done
… and you’re done!
…で終了です。

You should apply the patch by launching the program Yoshihiro. We provide twoforms of downloads. One pack contains iR Shell with the patch included in a single archive RTU, for those who still would not use the shell. The other contains only the patch for iR Shell fans who value their personal configuration, and will not overwrite data.
Yoshihiro氏のプログラムを起動してパッチを適用させます。ダウンロードは2種類用意しました。iR Shellを現在使用していない方向けのiR Shellとパッチのワンパックバージョンと、上書きしないで設定をそのまま引き継ぎたいiR Shellファンのためのパッチのみバージョンです。
Thank you to Ahman for iR Shell.
iR Shell作者のAhman氏に感謝します。


最近のPSPシーンは完全にYoshihiro氏を中心に回っています。彼がPSPGENチームに近い人物だったことでCFW GENの株も上がりっぱなしです。一時期のDark-AleX氏並です。ただ、Dark-AleX氏と大きく異なるのはその存在のリアリティではないでしょうか。

Yoshihiro氏たしか以前PSPGENでMaGiXieN氏に友人、と紹介され顔写真が公開されていたと思います。お子さんが生まれたとかで、その赤ちゃんの写真まで掲載していました。未だ秘密のベールに包まれているDark-AleX氏とはそこが異なります。
どちらがいい悪いの問題ではないので言及は避けますが、Yoshihiro氏の方が親近感を抱きやすい気はします。ただ、しばらく表立った活動をしていない割には待望論が根強いDark-AleX氏への信頼感も評価に値すると思います。
GENチームとM33チームが共に切磋琢磨して共存できる時代が来るといいですね。かつての対立の過去を水に流して…