Невиправна вразливість у iPhone XS та iPhone 11: знайдено новий BootROM-експлойт

Вразливість, яку неможливо виправити оновленням

BootROM (або SecureROM) — це перший код, який запускається на iPhone під час увімкнення пристрою. Він вбудований безпосередньо в чип на етапі виробництва, тому будь-які вразливості на цьому рівні неможливо усунути програмним оновленням. Це означає, що пристрої, які підпадають під цю проблему, залишаються потенційно вразливими протягом усього терміну служби.

Останній подібний публічний експлойт BootROM — checkm8 — був оприлюднений у 2019 році та зачіпав пристрої від iPhone 4S до iPhone X. Новий експлойт usbliter8 продовжує цю лінію, але вже для більш сучасного покоління чипів.

Які пристрої під загрозою

За даними дослідників, вразливість охоплює пристрої на базі A12 та A13, зокрема лінійки iPhone XS та iPhone 11.

Не зачіпає:

• пристрої на A11 (наприклад, iPhone X)
• пристрої на A14 та новіші

A11 захищений завдяки іншій логіці роботи USB-драйвера, а в A14 Apple коректно реалізувала механізм захисту пам’яті вже на рівні BootROM.

Як працює експлойт

Вразливість пов’язана з контролером USB, вбудованим у чипи Apple. Під час запуску iPhone він обробляє вхідні USB-дані та зберігає їх у буфері пам’яті.

Дослідники виявили, що при надсиланні спеціально сформованої послідовності дуже малих пакетів можна викликати помилку у роботі внутрішнього вказівника пам’яті. У результаті він починає зміщуватися назад і записує дані в області пам’яті, до яких доступ має бути заборонений.

На думку Paradigm Shift, проблема пов’язана саме з апаратною реалізацією USB-контролера, а не з програмним кодом Apple.

Чому A13 складніше зламати

Різниця між чипами відіграє ключову роль:

• A12 — виконання коду досягається відносно просто
• A13 — заважає технологія Pointer Authentication Codes (PAC), яка відстежує та блокує спроби підміни вказівників
• A14 та новіші — додатково посилюють захист на рівні BootROM і унеможливлюють подібні атаки

Обхід PAC на A13, за словами дослідників, вимагав складного багатокрокового ланцюга дій.

Що дозволяє експлойт

Після отримання контролю над системою експлойт встановлює власний обробник, який зберігається навіть після перезавантаження пристрою. Це дає атакувальнику низку можливостей:

• тимчасове зниження рівня безпеки пристрою
• завантаження непідписаного програмного забезпечення без перевірок
• зміна USB-ідентифікатора пристрою (включно зі строкою «PWND», яку традиційно використовують у подібних зламах)

Можливі наслідки та реакція Apple

Хоча usbliter8 безпосередньо не зачіпає Secure Enclave, подібний рівень компрометації BootROM потенційно може відкрити додаткові вектори атак на захищені компоненти системи.

Дослідники зазначають, що заздалегідь повідомили Apple Product Security про вразливість і працювали в межах координованого розкриття інформації. Повний proof-of-concept код опубліковано разом із технічним розбором.