Niemożliwy do załatania exploit „usbliter8” dotyka chipów A12 i A13 — iPhone XS aż po iPhone’a 11
Firma badawcza Paradigm Shift opublikowała szczegóły nowej, niemożliwej do załatania luki w BootROM chipów A12 i A13 Apple. Dotyczy iPhone’a XS, XR, 11 i 11 Pro — urządzenia te pozostaną podatne do końca swojego cyklu życia.
Jak podaje MacRumors, firma badawcza Paradigm Shift opublikowała szczegóły nowej luki w BootROM (zwanym też SecureROM) — pierwszym kodzie, jaki iPhone uruchamia po włączeniu zasilania. Ponieważ BootROM jest zapisany bezpośrednio w krzemie podczas produkcji, żadna luka w nim znaleziona nie może zostać załatana aktualizacją oprogramowania — dotknięte urządzenia pozostaną podatne do końca swojego życia. Badacze opublikowali też działający proof-of-concept o nazwie „usbliter8”.
To pierwszy tego typu exploit od czasu głośnego „checkm8” z 2019 roku, który dotyczył urządzeń od iPhone’a 4S do iPhone’a X. „usbliter8” rozszerza tę listę o kolejną generację chipów — od iPhone’a XS po całą serię iPhone’a 11. Exploit wykorzystuje błąd w kontrolerze USB wbudowanym w chipy Apple: wysyłając specyficzną sekwencję nietypowo małych pakietów podczas startu urządzenia, badacze byli w stanie zmanipulować wewnętrzny wskaźnik sprzętowy tak, by cofał się w pamięci, umożliwiając zapis danych w miejscach, do których nigdy nie powinien mieć dostępu. Według Paradigm Shift to błąd samego kontrolera sprzętowego, nie oprogramowania Apple.
Chip A11 z iPhone’a X jest bezpieczny, bo jego sterownik USB ręcznie resetuje wskaźnik po każdym pakiecie. Chipy A14 i nowsze są również bezpieczne, bo poprawnie konfigurują funkcję ochrony pamięci na poziomie BootROM. A12 i A13 znalazły się dokładnie pomiędzy tymi dwoma generacjami. Na urządzeniach z A12 uzyskanie wykonania kodu jest stosunkowo proste. Na A13 jest znacznie trudniejsze, bo Apple wprowadziło tam funkcję Pointer Authentication Codes (PAC), wykrywającą i blokującą określone rodzaje manipulacji pamięcią — obejście PAC wymagało od badaczy długiego, wieloetapowego procesu.
Po przejęciu kontroli exploit instaluje niestandardowy handler, który przetrwa restart urządzenia i daje dwie możliwości: tymczasowe obniżenie ustawień bezpieczeństwa oraz uruchamianie niepodpisanego oprogramowania bez żadnej weryfikacji. Paradigm Shift zaznacza, że „usbliter8” nie wpływa bezpośrednio na Secure Enclave, ale kompromitacja BootROM tego typu otwiera szersze możliwości ataku na ten układ. Firma poinformowała Apple Product Security przed publikacją i współpracowała z Apple w ramach skoordynowanego ujawnienia.
