Pubblicato un primo aggiornamento di Poops-PS5-Java, una implementazione in Java dell’exploit poops_ps5 basato sulla vulnerabilità sys_netcontrol UAF per l’ambiente BD-J della PlayStation 5.

Questo strumento consente di ottenere lettura e scrittura arbitraria del kernel, privilegi di root, l’attivazione delle Debug Settings e l’esecuzione di un ELF loader per avviare homebrew e payload personalizzati.

If you find it useful and want to support future work, you can leave a tip here:

☕ https://t.co/EUffFGLjzR

— Jaime (@Jaime_Cyber) April 4, 2026

Con la versione 1.1, lo sviluppatore Jaime_Cyber ha scelto di concentrarsi in modo deciso sulla stabilità generale dell’exploit, affrontando uno dei principali limiti delle precedenti implementazioni BD-J.

Il progetto continua a distinguersi per l’approccio alternativo che sfrutta il lettore Blu-ray della console, evitando completamente il browser e utilizzando invece l’ambiente BD-J come punto di ingresso, una scelta particolarmente interessante per chi possiede una PS5 con lettore fisico.

Una volta eseguito, l’exploit consente un accesso completo al sistema a livello kernel, permettendo operazioni avanzate come la modifica diretta della memoria e l’esecuzione di codice non firmato.

Questo lo rende uno strumento potente per la scena homebrew, offrendo una base solida per lo sviluppo e l’utilizzo di software non ufficiale.

Il miglioramento più evidente introdotto in questa versione riguarda la drastica riduzione dei kernel panic.

Sono stati implementati diversi accorgimenti tecnici per gestire in modo più sicuro le risorse di sistema, tra cui l’utilizzo intensivo di socket dummy per sovrascrivere i puntatori UAF rimasti in memoria, il reset dei contatori di riferimento delle pipe e la chiusura completa dei socket IPv6.

Anche il comportamento dell’applicazione durante la navigazione nei menu o la sua chiusura è stato affinato, contribuendo a rendere l’esperienza più stabile e prevedibile.

Un altro passo avanti significativo riguarda la gestione dei timing, fondamentale per il corretto funzionamento della race condition iniziale.

L’adozione di sys_nanosleep, richiamato tramite ksleep, al posto del più impreciso Thread.sleep, consente un controllo molto più accurato delle tempistiche, aumentando le probabilità di successo dell’exploit e riducendo gli errori casuali.

Parallelamente, il processo di esecuzione è stato semplificato eliminando passaggi complessi come lo swapSysent e l’hijacking del processo target. Il codice ora viene eseguito direttamente con i privilegi necessari all’interno dell’ambiente BD-J, rendendo l’intera procedura più lineare e meno soggetta a problemi.

Funzionalità

• Lettura/Scrittura completa del kernel (R/W): esecuzione stabile tramite UAF con riparazione dinamica delle triplette e recupero Kqueue per prevenire kernel panic.
• Escalation dei privilegi: modifica delle credenziali di processo (ucred) per ottenere accesso root.
• Impostazioni di debug: utilizza il DMA della GPU per patchare i flag QA, l’ID target e l’UTOKEN nella memoria del kernel protetta.
• Caricatore ELF: alloca e mappa in modo sicuro memoria eseguibile usando aliasing della memoria condivisa (rispettando le protezioni W^X di FreeBSD) e avvia un thread di sistema in ascolto sulla porta 9021 per l’esecuzione dei payload.

Requisiti

• Una PS5 con firmware 12.00 o inferiore (e BD-J non patchato).
• Un ambiente BD-J Loader funzionante sulla console.
• Un ISO BD-J (ad esempio BD-UN-JB 1.0 con supporto Jar Loader).
• Un PC collegato alla stessa rete della PS5.
• Un programma per inviare payload (tipo Netcat).

Nota: Durante i test viene spesso usato BD-UN-JB 1.0 perché include già il supporto necessario.

Guida

• Attivare una prima volta il jailbreak
  • Serve solo per attivare una funzione chiamata ELF loader (porta 9021). Il metodo cambia in base al firmware:
  • Sotto 10.00 → metodi tipo Y2JB
  • Sopra 10.00 → metodi con Lua (a volte serve un gioco PS4)
• Sbloccare il BD-J (passaggio importante)
  • Dal PC inviare un piccolo file (payload BD-J unpatched) alla PS5 utilizzando un programma tipo Netcat. Questo serve per “aprire” definitivamente il sistema Blu-ray della console.
  • Questo passaggio si fa una sola volta.
• Riavviare la PS5
  • Ora la console torna “pulita”, ma con il BD-J sbloccato.
• Fine: console pronta

Utilizzo / esecuzione

• Avviare la ISO del BD-J Loader sulla PS5 e attendere che inizi ad ascoltare sulla porta 9025.
• Inviare il payload .jar compilato alla console utilizzando netcat (sostituire HOST_IP con l’indirizzo IP locale della PS5): nc HOST_IP 9025 < payload.jar

Changelog

• Riduzione dei Kernel Panic: Implementata una routine di pulizia profonda del kernel. Il payload ora inonda la freelist del kernel con 4096 socket fittizi per sovrascrivere i puntatori UAF residui, reimposta i contatori di riferimento delle pipe (fhold via + 0x100) e chiude esplicitamente tutti i 64 socket IPv6. Questo migliora significativamente la stabilità durante la navigazione nei menu della PS5 o alla chiusura dell’app BD-J dopo lo sfruttamento.
• Precisione del Sleep nativa (grazie a egycnq): Sostituito il metodo Thread.sleep() di Java con un wrapper diretto per sys_nanosleep (ksleep()), garantendo un timing accurato durante la race dello Stage 1.
• Esecuzione semplificata (grazie a Gezine): Rimossi swapSysent e l’hijacking del targetProc per la configurazione GPU e il caricamento ELF. Il processo BD-J della PS5 viene già eseguito nativamente con i privilegi necessari, rendendo superfluo lo scambio di processo.

Download: Poops PS5 1.0 – BD-J Jailbreak v1.1

Download: Source code Poops PS5 1.0 – BD-J Jailbreak v1.1

Alcune parti di questo articolo sono state generate con l’aiuto dell’intelligenza artificiale.