Negli ultimi anni la console la Xbox One si era guadagnata una reputazione particolare nel mondo della sicurezza informatica: quella di una delle console più difficili da violare.

Mentre piattaforme concorrenti come PlayStation 4 e Nintendo Switch sono state oggetto di numerosi exploit e jailbreak, la console Microsoft era rimasta per oltre un decennio sostanzialmente intatta.

Durante la conferenza RE//verse 2026, il ricercatore di sicurezza Markus Gaasedelen ha raccontato nel dettaglio il lungo percorso che lo ha portato a ottenere per la prima volta l’esecuzione di codice direttamente nella boot ROM della console, cioè il livello più profondo e privilegiato dell’intero sistema.

Un obiettivo considerato impossibile

Quando la Xbox One arrivò sul mercato nel 2013, Microsoft aveva investito enormi risorse nella sicurezza della piattaforma. La console introduceva un’architettura molto più complessa rispetto alle generazioni precedenti, con diversi livelli di isolamento tra i vari componenti software.

Il cuore di questo sistema è il Platform Security Processor (PSP), un piccolo processore ARM integrato nel SoC della console che gestisce la catena di avvio sicuro.

Il PSP si occupa di inizializzare l’hardware, verificare le firme crittografiche dei vari componenti e garantire che solo codice autorizzato venga eseguito.

Tutto questo sistema di sicurezza, però, si basa su un elemento fondamentale: la boot ROM. Si tratta di una porzione di codice incisa direttamente nel silicio del chip.

Proprio perché è fisicamente integrata nell’hardware, non può essere modificata o aggiornata tramite software. Se questa parte viene compromessa, l’intera catena di sicurezza crolla.

Non a caso uno degli architetti della sicurezza Xbox aveva dichiarato anni prima che l’unico errore da cui non sarebbe stato possibile recuperare era proprio un bug nella boot ROM.

Attacchi hardware invece che software

Il problema per i ricercatori era che il codice della boot ROM era estremamente semplice e molto ben controllato. Non conteneva vulnerabilità software evidenti.

Per questo motivo Gaasedelen ha deciso di concentrarsi su un approccio completamente diverso: un attacco hardware basato su fault injection, cioè l’introduzione controllata di errori nel funzionamento del chip durante l’esecuzione.

La tecnica scelta è nota come voltage glitching. In pratica consiste nel provocare una minuscola e rapidissima perturbazione nella tensione elettrica che alimenta il processore, nel momento esatto in cui sta eseguendo un’istruzione critica.

Questo può causare errori temporanei nell’esecuzione del codice, come il salto di un’istruzione o la corruzione di un registro.

Il problema è che per far funzionare questo tipo di attacco bisogna conoscere con estrema precisione cosa sta facendo il chip in ogni istante.

Nel caso della Xbox One non esistevano interfacce di debug, porte UART o segnali diagnostici accessibili. In pratica il ricercatore stava lavorando quasi completamente alla cieca.

Ricostruire il comportamento del chip

Per ottenere qualche informazione in più, Gaasedelen ha iniziato a studiare i segnali elettrici della scheda madre. Analizzando il consumo energetico del processore e il traffico su alcuni bus interni è riuscito lentamente a ricostruire le diverse fasi dell’avvio della console.

Uno degli ostacoli principali era rappresentato da una difesa inserita da Microsoft proprio per contrastare questo tipo di attacchi: all’interno della boot ROM erano presenti decine di cicli di attesa casuali.

Questi ritardi casuali modificano leggermente i tempi di esecuzione a ogni avvio, rendendo molto difficile individuare il momento preciso in cui applicare il glitch. si tratta di un meccanismo simile alla randomizzazione degli indirizzi in memoria utilizzata nei sistemi operativi moderni.

Per aggirare il problema il ricercatore ha iniziato a monitorare altri segnali della scheda madre, come il traffico sul bus I2C e le letture degli eFuse, piccoli fusibili programmabili usati per memorizzare informazioni crittografiche e configurazioni hardware.

Questi segnali hanno fornito nuovi punti di riferimento temporali che hanno reso possibile sincronizzare gli attacchi con maggiore precisione.

Il primo risultato: attivare i post code

Il primo grande passo avanti è arrivato quando Gaasedelen è riuscito a influenzare il codice della boot ROM abbastanza da attivare i cosiddetti post code, indicatori diagnostici normalmente disabilitati nelle console retail.

Vederli comparire significava che l’attacco stava effettivamente modificando il comportamento del processore. Era la prima dimostrazione concreta che il chip poteva essere manipolato.

Da quel momento è iniziata una fase di sperimentazione intensiva, con migliaia di riavvii automatici della console e campagne di glitching che potevano durare giorni interi.

Il controllo del flusso di esecuzione

Il passo successivo si è rivelato ancora più importante. Analizzando il processo con cui la boot ROM copia i dati dal flash interno alla memoria, il ricercatore ha individuato un punto particolarmente interessante: la routine memcpy che trasferisce l’header del primo bootloader.

Colpendo il sistema con un glitch nel momento giusto durante questa copia di memoria, è riuscito a corrompere l’esecuzione del codice in modo tale che alcuni registri del processore rimanessero pieni di dati controllati dall’attaccante.

Questo ha portato a un risultato fondamentale: il controllo del program counter, cioè la possibilità di far eseguire al processore istruzioni a un indirizzo scelto dall’attaccante.

Tuttavia il sistema di sicurezza non era ancora completamente compromesso. Il processore utilizzava infatti una Memory Protection Unit (MPU) per isolare diverse aree di memoria e impedire che il codice utente potesse interferire con quello più privilegiato.

Il secondo glitch

Per ottenere il controllo completo era necessario disattivare anche questa protezione. Dopo molte analisi Gaasedelen ha individuato il momento in cui la boot ROM inizializza la MPU e ha scoperto che, con un secondo glitch opportunamente sincronizzato, era possibile interrompere il ciclo di configurazione prima che la protezione venisse attivata.

Il risultato finale è stato un attacco a due glitch:

1. Il primo glitch interrompe l’inizializzazione della MPU, disabilitando l’isolamento della memoria.
2. Il secondo glitch corrompe la routine di copia dei dati e permette di controllare il flusso di esecuzione del processore.

Con queste due operazioni combinate diventa possibile eseguire codice arbitrario direttamente nella boot ROM e ottenere privilegi massimi sul sistema.

Controllo totale della console

Una volta raggiunto questo livello di accesso, il ricercatore ha dimostrato di poter:

• Leggere le chiavi crittografiche memorizzate negli eFuse.
• Decriptare i vari stadi del firmware della console.
• Modificare o eseguire codice non firmato.
• Avviare qualsiasi software bypassando i controlli di sicurezza.

In altre parole, l’intera piattaforma diventa completamente controllabile.

Implicazioni reali

L’attacco sembra funzionare principalmente sui modelli originali della console lanciati nel 2013. Revisioni successive, come Xbox One S e Xbox One X, includono ulteriori protezioni che potrebbero rendere più difficile applicare la stessa tecnica.

Inoltre il metodo richiede ancora una configurazione hardware complessa e numerosi tentativi prima di riuscire. Durante la ricerca sono state eseguite milioni di operazioni di glitching e alcune console sono state danneggiate nel processo.

Secondo Gaasedelen, l’obiettivo principale della scoperta non è la pirateria ma la preservazione della piattaforma. Con accesso alla boot ROM diventa infatti possibile studiare in profondità l’architettura della console, recuperare firmware e potenzialmente riparare hardware danneggiato, come NAND o lettori ottici legati alla scheda madre.

Alcune parti di questo articolo sono state generate con l’aiuto dell’intelligenza artificiale.

Ultimo aggiornamento 2026-04-12 / Link di affiliazione / Immagini da Amazon Product Advertising API