Дослідники безпеки опублікували інформацію про нову, неможливу до виправлення вразливість SecureROM для чіпів Apple A12 та A13. Ця знахідка розширює можливості використання експлойтів, що стосуються BootROM, на пристрої, які не були охоплені попереднім експлойтом checkm8.
Безпекова компанія Paradigm Shift 18 червня повідомила про цей невідремонтований експлойт, названий usbliter8. Він дозволяє виконати код через недолік у процесі завантаження Apple через USB. Вразливість впливає на пристрої, оснащені чіпами Apple A12 та A13, включаючи лінійки iPhone XS, iPhone XS Max, iPhone XR та iPhone 11.
Також під загрозою опинилися кілька моделей iPad та Apple Watch, які використовують чіпи S4 та S5. Серед них 11-дюймовий iPad Pro (1-го покоління), 11-дюймовий iPad Pro (2-го покоління), 12.9-дюймовий iPad Pro (3-го покоління), 12.9-дюймовий iPad Pro (4-го покоління).
До списку додаються Apple Watch SE (1-го покоління), Apple Watch Series 4, Apple Watch Series 5, iPad (9-го покоління), iPad (8-го покоління), iPad Air (3-го покоління), iPad mini (5-го покоління), iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max, iPhone SE (2-го покоління), iPhone XR, iPhone XS та iPhone XS Max.
Хоча основна увага зосереджена на таких пристроях, як iPhone, iPad та Apple Watch з режимом DFU, технічно такі пристрої, як Studio Display, HomePod mini та Apple TV 4K другого покоління, також використовують ці вразливі чіпсети. Існує припущення, що чіпи A12X та A12Z також можуть мати технічну підтримку для цього типу проблем, але це не було реалізовано, тому ці моделі iPad Pro 2018 та 2019 років випуску також можуть бути включені.
Usbliter8 поєднує в собі апаратний недолік контролера USB із конфігурацією захисних механізмів на уражених пристроях. Атака відбувається через режим оновлення прошивки пристрою, більш відомий як режим DFU. Успішне використання дозволяє дослідникам отримати контроль ще до початку завантаження iOS.
Цей експлойт також забезпечує компрометацію ланцюга завантаження та можливість обробки кастомних USB-запитів. З його допомогою можна завантажувати модифіковане програмне забезпечення iPhone, яке зазвичай не дозволено запускати. Звіт Paradigm Shift є серйозним, оскільки вразливість існує в SecureROM — першому коді, який виконується під час запуску iPhone.
SecureROM перевіряє програмне забезпечення Apple перед тим, як решта операційної системи буде завантажена, і слугує основою моделі безпеки пристрою. Apple може виправляти недоліки в iOS, iPadOS та watchOS за допомогою оновлень програмного забезпечення. Проте цей код вбудований у сам чіп і не може бути замінений після виробництва, тому уражені пристрої залишатимуться вразливими, якщо користувачі не замінять їх на новіше обладнання.
Usbliter8 не впливає на чіпи A14 та новіших поколінь, оскільки пізніші версії SecureROM, схоже, по-іншому налаштовують апаратні захисти. Пристрої на базі A11 також уникли цієї вразливості, оскільки їхній USB-драйвер скидає адреси пам’яті таким чином, що запобігає атаці.
Архітектура безпеки Apple перевіряє кожен етап процесу запуску перед передачею контролю наступному. Успішний експлойт SecureROM може обійти деякі з цих перевірок і отримати доступ на найранішому етапі запуску пристрою. Код SecureROM неможливо оновити після виробництва, тому доступ, отриманий через usbliter8, може зберігатися після оновлень програмного забезпечення, відновлення пристрою та перегляду прошивки.
Постійний доступ на рівні SecureROM відрізняє usbliter8 від типової програмної вразливості. Важливо зазначити, що експлойт не надає зловмисникам необмеженого доступу до даних користувачів. Процесор Secure Enclave від Apple залишається відокремленим від цієї вразливості та забезпечує додатковий рівень безпеки.
Usbliter8 безпосередньо не компрометує Secure Enclave, однак він потенційно може розширити спектр можливих атак на інші частини платформи Apple. Експлойт також має практичні обмеження; дослідники повинні мати фізичний доступ до пристрою та використовувати USB-підключення і режим DFU для здійснення атаки.
Розкриття інформації про usbliter8 викликає порівняння з checkm8, експлойтом SecureROM, який уразив пристрої Apple на базі чіпів від A5 до A11. Checkm8 став одним з найвпливовіших експлойтів для iPhone, оскільки він націлювався на незмінний код BootROM і не міг бути виправлений за допомогою оновлень програмного забезпечення. Подібно до checkm8, usbliter8 націлюється на найраніші стадії процесу завантаження Apple, і його неможливо повністю виправити за допомогою оновлень програмного забезпечення.
Apple не стикалася з публічним експлойтом BootROM, що впливає на пристрої з чіпами A12 та A13, з часу, коли checkm8 націлювався на попередні покоління обладнання. Usbliter8 змінює цю ситуацію, пропонуючи робочий експлойт для обох сімейств чіпів. Значна частина технічного документа зосереджена на техніках обходу захистів новішого обладнання Apple, що зрештою призвело до успішного виконання коду на підтримуваних пристроях.
Публічні експлойти SecureROM, що впливають на пристрої з чіпами A12 та A13, були рідкісними, що робить usbliter8 помітним доповненням до історії безпеки Apple. Paradigm Shift повідомила про свої висновки до Відділу безпеки продуктів Apple перед публікацією та скоординувала випуск з Apple. Компанія Apple не коментувала ці дослідження публічно на момент публікації.
Практичний ризик від usbliter8 залишається обмеженим, оскільки експлойт вимагає фізичного доступу до пристрою та використання режиму DFU через USB. Більшість користувачів навряд чи зіткнуться з такою загрозою під час звичайного використання. Встановлення оновлень безпеки, використання надійного пароля та уникнення залишення пристроїв без нагляду не виправить вразливість SecureROM, але може ускладнити зловмиснику отримання фізичного доступу, необхідного для експлуатації usbliter8.
Користувачі, стурбовані довгостроковим ризиком, можуть зменшити його, оновивши своє обладнання до пристроїв на базі чіпа Apple A14 або новіших версій. Описаний у дослідженні експлойт не впливає на ці пристрої.
