Исследователи безопасности опубликовали информацию о новой, неустранимой уязвимости SecureROM для чипов Apple A12 и A13. Эта находка расширяет возможности использования эксплойтов, связанных с BootROM, на устройствах, которые не были охвачены предыдущим эксплойтом checkm8.
Компания по безопасности Paradigm Shift 18 июня сообщила об этом неустранимом эксплойте под названием usbliter8. Он позволяет выполнить код через уязвимость в процессе загрузки Apple через USB. Уязвимость затрагивает устройства, оснащенные чипами Apple A12 и A13, включая линейки iPhone XS, iPhone XS Max, iPhone XR и iPhone 11.
Также под угрозой оказались несколько моделей iPad и Apple Watch, которые используют чипы S4 и S5. Среди них 11-дюймовый iPad Pro (1-го поколения), 11-дюймовый iPad Pro (2-го поколения), 12.9-дюймовый iPad Pro (3-го поколения), 12.9-дюймовый iPad Pro (4-го поколения).
К списку добавляются Apple Watch SE (1-го поколения), Apple Watch Series 4, Apple Watch Series 5, iPad (9-го поколения), iPad (8-го поколения), iPad Air (3-го поколения), iPad mini (5-го поколения), iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max, iPhone SE (2-го поколения), iPhone XR, iPhone XS и iPhone XS Max.
Хотя основное внимание сосредоточено на таких устройствах, как iPhone, iPad и Apple Watch в режиме DFU, технически такие устройства, как Studio Display, HomePod mini и Apple TV 4K второго поколения, также используют эти уязвимые чипсеты. Существует предположение, что чипы A12X и A12Z также могут иметь техническую поддержку для этого типа проблем, но это не было реализовано, поэтому эти модели iPad Pro 2018 и 2019 годов выпуска также могут быть включены.
Usbliter8 сочетает в себе аппаратный недостаток контроллера USB с конфигурацией защитных механизмов на пораженных устройствах. Атака происходит через режим обновления прошивки устройства, более известный как режим DFU. Успешное использование позволяет исследователям получить контроль еще до начала загрузки iOS.
Этот эксплойт также обеспечивает компрометацию цепочки загрузки и возможность обработки кастомных USB-запросов. С его помощью можно загружать модифицированное программное обеспечение iPhone, которое обычно не разрешается запускать. Отчет Paradigm Shift является серьезным, поскольку уязвимость существует в SecureROM — первом коде, который выполняется при запуске iPhone.
SecureROM проверяет программное обеспечение Apple перед тем, как остальная часть операционной системы будет загружена, и служит основой модели безопасности устройства. Apple может исправлять недостатки в iOS, iPadOS и watchOS с помощью обновлений программного обеспечения. Однако этот код встроен в сам чип и не может быть заменен после производства, поэтому пораженные устройства будут оставаться уязвимыми, если пользователи не заменят их на более новое оборудование.
Usbliter8 не влияет на чипы A14 и более поздних поколений, поскольку более поздние версии SecureROM, похоже, иначе настраивают аппаратные защиты. Устройства на базе A11 также избежали этой уязвимости, поскольку их USB-драйвер сбрасывает адреса памяти таким образом, что предотвращает атаку.
Архитектура безопасности Apple проверяет каждый этап процесса запуска перед передачей контроля следующему. Успешный эксплойт SecureROM может обойти некоторые из этих проверок и получить доступ на самом раннем этапе запуска устройства. Код SecureROM невозможно обновить после производства, поэтому доступ, полученный через usbliter8, может сохраняться после обновлений программного обеспечения, восстановления устройства и просмотра прошивки.
Постоянный доступ на уровне SecureROM отличает usbliter8 от типичной программной уязвимости. Важно отметить, что эксплойт не предоставляет злоумышленникам неограниченный доступ к данным пользователей. Процессор Secure Enclave от Apple остается отделенным от этой уязвимости и обеспечивает дополнительный уровень безопасности.
Usbliter8 напрямую не компрометирует Secure Enclave, однако он потенциально может расширить спектр возможных атак на другие части платформы Apple. Эксплойт также имеет практические ограничения; исследователи должны иметь физический доступ к устройству и использовать USB-подключение и режим DFU для осуществления атаки.
Раскрытие информации об usbliter8 вызывает сравнения с checkm8, эксплойтом SecureROM, который поразил устройства Apple на базе чипов от A5 до A11. Checkm8 стал одним из самых влиятельных эксплойтов для iPhone, поскольку он нацеливался на неизменный код BootROM и не мог быть исправлен с помощью обновлений программного обеспечения. Подобно checkm8, usbliter8 нацеливается на самые ранние стадии процесса загрузки Apple, и его невозможно полностью исправить с помощью обновлений программного обеспечения.
Apple не сталкивалась с публичным эксплойтом BootROM, затрагивающим устройства с чипами A12 и A13, с тех пор, как checkm8 нацеливался на предыдущие поколения оборудования. Usbliter8 меняет эту ситуацию, предлагая рабочий эксплойт для обоих семейств чипов. Значительная часть технического документа сосредоточена на техниках обхода защит более нового оборудования Apple, что в конечном итоге привело к успешному выполнению кода на поддерживаемых устройствах.
Публичные эксплойты SecureROM, затрагивающие устройства с чипами A12 и A13, были редкими, что делает usbliter8 заметным дополнением к истории безопасности Apple. Paradigm Shift сообщила о своих выводах Отделу безопасности продуктов Apple перед публикацией и скоординировала выпуск с Apple. Компания Apple не комментировала эти исследования публично на момент публикации.
Практический риск от usbliter8 остается ограниченным, поскольку эксплойт требует физического доступа к устройству и использования режима DFU через USB. Большинство пользователей вряд ли столкнутся с такой угрозой во время обычного использования. Установка обновлений безопасности, использование надежного пароля и избегание оставления устройств без присмотра не исправят уязвимость SecureROM, но могут усложнить злоумышленнику получение физического доступа, необходимого для эксплуатации usbliter8.
Пользователи, обеспокоенные долгосрочным риском, могут уменьшить его, обновив свое оборудование до устройств на базе чипа Apple A14 или новее. Описанный в исследовании эксплойт не влияет на эти устройства.
