Kernel/VM探検隊 online part2 で発表した HDMI探検隊の発表資料です。

1. HDMI探検隊
Kernel/VM探検隊online part2
David MarkによるPixabayからの画像

2. クリックしてタイトルを入力
mzyy94
セキュリティ系をやってた
最近は映像系をやってる
エビを飼っている
ネコは飼ってません

3. HDMIをご存知ですか？

4. の機能
映像
音声
イーサネット
機器コントロール
ディスプレイコントロール
HDMI、HDMI ロゴ、及びHigh-Definition Multimedia Interface は、
HDMI Licensing LLC の商標または登録商標です。

5. の機能
映像
音声
イーサネット
機器コントロール
ディスプレイコントロール
HDMI、HDMI ロゴ、及びHigh-Definition Multimedia Interface は、
HDMI Licensing LLC の商標または登録商標です。

6. 制御系
機器コントロール
Consumer Electronics Control
CEC
ディスプレイコントロール
Display Data Channel
DDC

7. CEC DDC
ディスプレイ操作(DDC/CI)
コンテンツ保護 交換(HDCP)
ディスプレイ情報(EDID)
ステータス/コントロール(SCDC)
I²Cプロトコル
機器ごとにI2Cでやり取りする
リモコン入力操作
入力映像切り替え
スタンバイ・復帰 など
AV.linkプロトコルベース
全て同じバスに繋がっている

8. DDC/CI
DDC Command Interface
HDCP
EDID SCDC
Status and Control Data Channel
HDMI 2.0の新機能
映像・音声の設定を読み書き
仕様書は hdmi.org (会員のみ)
ディスプレイハードウェア制御
音量の変更・輝度など読み書き
仕様書は vesa.org
High-bandwidth Digital Content Protection
コンテンツ保護の 交換
機器失効リストを書き換え可能
仕様書は digital-cp.com
Extended Display Identification Data
ディスプレイの表示情報
基本的に読み込み専用
仕様書は vesa.org

9. PIN配置
HDMI A
Public domain, ウィキメディア・コモンズ経由で

10. Charly Whisky, CC BY-SA 4.0, ウィキメディア・コモンズ経由で

11. 映像と音声
Charly Whisky, CC BY-SA 4.0, ウィキメディア・コモンズ経由で

12. Charly Whisky, CC BY-SA 4.0, ウィキメディア・コモンズ経由で
制御系

13. HDMI制御系をいじる
Lucasbosch, CC BY-SA 3.0, ウィキメディア・コモンズ経由で

14. https://www.raspberrypi.org/documentation/hardware/raspberrypi/schematics/rpi_SCH_3b_1p2_reduced.pdf

15. https://www.raspberrypi.org/documentation/hardware/raspberrypi/schematics/rpi_SCH_3b_1p2_reduced.pdf

16. https://www.raspberrypi.org/documentation/hardware/raspberrypi/schematics/rpi_SCH_3b_1p2_reduced.pdf

18. CECを探検する
• VideoCoreのAPIを叩く
void vc_vchi_cec_init
int VCHPOST_ vc_cec_send_message ほか
• cec-clientを使う（お手軽）
apt install cec-utils
cec-client -s <<< "tx <CECフレーム>"

19. CECのフレーム形式
1F:82:40:00

20. CECのフレーム形式
1F:82:40:00
送信元バスID
宛先バスID
OPコード
引数
バス1の機器（1）から
Broadcast宛（F）に
入力切り替え（0x82）が
バス4.0.0.0（40:00）に切り替わったことを通知するCECフレーム

21. CECで色々やってみた
• 認証機構がないのでCECフレーム送り放題
• 機器によっては受理するかを受け取る側が判断する
• 低速なので連続で送りまくるとバスが詰まる
• 連続して送り続ければCECの送信を妨害できる
• 定義されていない引数など不正なCECは無視される？
• 巧妙に細工したらおかしな挙動をする機器もあるかも

22. DDCを探検する
• VideoCoreのAPIを叩く
int VCHPOST_ vc_tv_hdmi_set_hdcp_revoked_list
int VCHPOST_ vc_tv_hdmi_ddc_read ほか
• I2Cバスを直接触る
/boot/config.txt
[all]
dtparam=i2c2_iknowwhatimdoing
# OR
#dtoverlay=vc4-kms-v3d
[pi4]
# Kernel 5.10 or higher required
dtoverlay=vc4-kms-v3d

23. DDCバスを確認する
pi@raspberrypi:~ $ i2cdetect -y 2
0 1 2 3 4 5 6 7 8 9 a b c d e f
00: -- -- -- -- -- -- -- -- -- -- -- -- --
10: -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
20: -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
30: -- -- -- -- -- -- -- 37 -- -- 3a -- -- -- -- --
40: -- -- -- -- -- -- -- -- -- -- 4a 4b -- -- -- --
50: 50 -- -- -- 54 -- -- -- -- -- -- -- -- -- -- --
60: -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
70: -- -- -- -- -- -- -- --

24. DDCバスを確認する
pi@raspberrypi:~ $ i2cdetect -y 2
0 1 2 3 4 5 6 7 8 9 a b c d e f
00: -- -- -- -- -- -- -- -- -- -- -- -- --
10: -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
20: -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
30: -- -- -- -- -- -- -- 37 -- -- 3a -- -- -- -- --
40: -- -- -- -- -- -- -- -- -- -- 4a 4b -- -- -- --
50: 50 -- -- -- 54 -- -- -- -- -- -- -- -- -- -- --
60: -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
70: -- -- -- -- -- -- -- --
DDC/CI HDCP
EDID SCDC

25. DDCで色々やってみた
• HDCPのやり取りを途中までやってみる
• 途中で止めるとディスプレイによっては挙動が不安定に
• HDCPの失効リスト（SRM）を書き換える
• コンテンツ保護ができるはずの機器を失効させ放題（？）
• ディスプレイによっては効果なかったりする
• DDC/CIでディスプレイ設定をいじり放題

26. 簡単に弄り回せる
ということは

27. 悪用もできる😈

28. #BadHDMI

29. #BadHDMI
• BadUSBならぬBadHDMI（勝手に命名した）
• 善良なデバイスに扮した悪意を持ったHDMI機器
• HDMI機器が悪意を持つことを世間は想定していない
• CECやDDCに認証機構がないため防ぐ術がない

30. BadHDMIの攻撃例
CECでリモコン操作信号を送って他のHDMI機器を勝手に操作
CECを傍受してリモコンによるパスワード入力を盗む
DDC/CIで輝度を高頻度で変えてハードウェアに負荷をかける
DDC/CIで範囲外の値を書き込んで挙動を不安定にする
HDCPやSCDCで手続きを無視したやり取りでディスプレイを
ハングアップさせる

31. #BadHDMI

32. enriquelopezgarreによるPixabayからの画像
HDMI探検隊
Kernel/VM探検隊online part2