Исследовательская компания Paradigm Shift опубликовала подробности новой уязвимости в BootROM, которая затрагивает чипы Apple A12 и A13. Вместе с описанием исследователи представили рабочий эксплойт-доказательство концепции под названием usbliter8.
BootROM, также известный как SecureROM, – это первый код, который запускается на iPhone при включении устройства. Поскольку он записывается прямо в чип на этапе производства, найденные в нём уязвимости нельзя исправить обычным программным обновлением. Это значит, что затронутые устройства останутся уязвимыми до конца своего жизненного цикла.
Преемник checkm8
Последним публично известным BootROM-эксплойтом такого типа был checkm8, выпущенный в 2019 году. Он затрагивал устройства от iPhone 4S до iPhone X. Новый эксплойт usbliter8 продолжает эту историю для следующего поколения чипов Apple и затрагивает устройства от iPhone XS до линейки iPhone 11.
Как работает эксплойт
Эксплойт использует ошибку в USB-контроллере, встроенном в чипы Apple. Когда iPhone получает USB-данные во время запуска, контроллер использует буфер памяти для хранения входящих пакетов. Исследователи Paradigm Shift выяснили, что при отправке определённой последовательности небольших пакетов можно изменить поведение внутреннего аппаратного указателя – он начинает двигаться назад по памяти. Это позволяет записывать данные в области, куда они попадать не должны.
По словам исследователей, проблема, судя по всему, кроется в самом аппаратном обеспечении USB-контроллера, а не в программном коде Apple.
Какие чипы уязвимы
Уязвимость затрагивает только два поколения чипов, оказавшихся в промежуточной зоне:
- A11 (iPhone X) – не подвержен: его USB-драйвер вручную сбрасывает указатель после каждого пакета;
- A12 и A13 – уязвимы;
- A14 и новее – защищены: функция защиты памяти корректно настроена уже на уровне BootROM.
На устройствах с A12 добиться выполнения кода сравнительно просто. На устройствах с A13 задача заметно сложнее: Apple добавила защитный механизм Pointer Authentication Codes (PAC), который обнаруживает и блокирует некоторые виды вмешательства в память. По словам Paradigm Shift, обход PAC на A13 потребовал длительного многоэтапного процесса – только после этого исследователи смогли получить контроль над процессором.
После получения контроля эксплойт устанавливает собственный обработчик, который сохраняется после перезагрузки устройства. Он добавляет две возможности:
- временное снижение настроек безопасности устройства;
- загрузку неподписанного ПО без проверок подлинности.
Кроме того, эксплойт добавляет в серийный номер iPhone по USB традиционную строку PWND – сигнал, что устройство скомпрометировано. Такой подход перешёл из checkm8 и более ранних эксплойтов.
Paradigm Shift отмечает, что usbliter8 не затрагивает Secure Enclave напрямую. Однако компрометация BootROM такого уровня открывает более широкие возможности для атак на этот компонент.
Перед публикацией компания передала свои выводы команде Apple Product Security и действовала в рамках согласованного раскрытия информации. Полный код доказательства концепции опубликован вместе с техническим описанием на сайте ps.tc.