Неисправимая уязвимость в iPhone XS и iPhone 11: найден новый BootROM-эксплойт

Исследовательская компания Paradigm Shift опубликовала данные о новой уязвимости BootROM, затрагивающей чипы Apple A12 и A13.

BootROM (или SecureROM) — это первый код, который запускается на iPhone при включении устройства. Он встроен непосредственно в чип на этапе производства, поэтому любые найденные уязвимости на этом уровне нельзя закрыть программным обновлением. Это означает, что устройства, затронутые проблемой, остаются уязвимыми на протяжении всего срока службы.

Последний подобный публичный эксплойт BootROM — checkm8 — был опубликован в 2019 году и затрагивал устройства от iPhone 4S до iPhone X. Новый usbliter8 продолжает эту линию, но уже для более свежего поколения чипов.

Какие устройства под угрозой

По данным исследователей, уязвимость охватывает устройства на базе A12 и A13, включая линейки iPhone XS и iPhone 11.

Не затронуты:

• устройства на A11 (например, iPhone X)
• устройства на A14 и новее

A11 защищен благодаря иной логике работы USB-драйвера, а в A14 Apple корректно реализовала механизм защиты памяти уже на уровне BootROM.

Как работает эксплойт

Уязвимость связана с контроллером USB, встроенным в чипы Apple. Во время запуска iPhone он обрабатывает входящие USB-данные и сохраняет их в буфер памяти.

Исследователи обнаружили, что при отправке специально сформированной последовательности очень маленьких пакетов можно вызвать ошибку в работе внутреннего указателя памяти. В результате он начинает «смещаться назад» и записывает данные в области памяти, куда доступ должен быть запрещен.

По мнению Paradigm Shift, проблема связана именно с аппаратной реализацией USB-контроллера, а не с программным кодом Apple.

Почему A13 сложнее взломать

Разница между чипами играет ключевую роль:

• A12 — выполнение кода достигается относительно просто
• A13 — мешает технология Pointer Authentication Codes (PAC), которая отслеживает и блокирует попытки подмены указателей
• A14 и новее — дополнительно усиливают защиту на уровне BootROM и исключают подобные атаки

Обход PAC на A13, по словам исследователей, потребовал сложной многоэтапной цепочки действий.

Что позволяет эксплойт

После получения контроля над системой эксплойт устанавливает собственный обработчик, который сохраняется даже после перезагрузки устройства. Это дает атакующему ряд возможностей:

временное снижение уровня безопасности устройства
загрузка неподписанного программного обеспечения без проверок
модификация USB-идентификатора устройства (включая строку «PWND», традиционно используемую в подобных взломах)

Возможные последствия и реакция Apple

Хотя usbliter8 напрямую не затрагивает Secure Enclave, подобный уровень компрометации BootROM потенциально открывает дополнительные пути для атак на защищенные компоненты системы.

Исследователи отмечают, что заранее сообщили об уязвимости в Apple Product Security и работали в рамках координированного раскрытия информации. Полный proof-of-concept код опубликован вместе с техническим разбором.

Теги:

Источник