Quando a Microsoft lançou o Xbox One em 2013, ela prometeu uma arquitetura de segurança “inviolável”, aprendendo as duras lições do antecessor Xbox 360. Por mais de uma década, a promessa se manteve: o console foi um dos poucos na história a nunca sofrer um jailbreak de hardware… até agora.
O pesquisador de segurança Markus Gaasedelen, conhecido como “doom”, apresentou na conferência RE//verse o que muitos consideravam impossível: o comprometimento total do Boot ROM seguro do Xbox One.
O console usa um SoC customizado AMD de 28 nm, com CPU e GPU integradas, e um subsistema de segurança no canto inferior direito do die de silício. Dentro dele, o Platform Security Processor (PSP), um ARM Cortex-R4, ancorava toda a cadeia de confiança. Esse PSP carregava um boot ROM de 64 KB queimado diretamente no silício, com apenas 19 KB de código Thumb-2 linear, sem runtime complexo. Cada instrução passava por verificação ECC gravada no hardware. Tony Chen, arquiteto da segurança Xbox One, afirmou em 2019 que um erro nesse boot ROM seria irrecuperável.
Um ataque cirúrgico ao silício
Markus Gaasedelen comprou seu Xbox One há 12 anos, na faculdade, e retomou o trabalho em 2024 após pausa por motivos pessoais. O alvo era exclusivo o boot ROM seguro, pois comprometê-lo dá acesso a tudo depois: descriptografia de SP1 (bootloader externo de 32 KB na NAND flash), kernel, hypervisor e firmware. O PSP inicializa antes do x86, descriptografa fases posteriores e libera o reset do processador principal. Gaasedelen extraiu o boot ROM opticamente do silício, confirmando código 100% Microsoft, não AMD
A Microsoft reforçou a segurança do console após lições aprendidas com o Xbox 360. Eliminou postcodes (ativados só em SP2), pino de reset glitchável e desaceleração de clock. Sem UART, JTAG, datasheet ou protótipos, o ataque era às cegas. Gaasedelen enumerou trilhas de alimentação do SoC e focou no trilho North Bridge core, removendo capacitores SMD para isolar com resistor de shunt próprio e fonte de baixa ruído. Usou análise de potência diferencial para mapear execução.
Por que a Microsoft não pode consertar?
A Microsoft não conserta porque a falha fica gravada no chip principal do console, em uma memória de 64 KB feita na fábrica em 2013. Atualizações de software mudam só partes posteriores do sistema, não esse código inicial fixo no silício. O hack dá acesso ao sistema operacional, ao gerenciador de segurança e à descriptografia de jogos e aplicativos. Reparadores recuperam consoles travados para sempre e salvam jogos raros sem depender de servidores desligados.
Para a comunidade, isso salva títulos antigos e permite consertar unidades quebradas. Por enquanto, só o modelo original grande (chamado “Fat”) funciona. Os Xbox One S e X mudaram o hardware e resistem ao método.
