Эксперты из компании Paradigm Shift опубликовали эксплоит usbliter8, который позволяет выполнить произвольный код внутри SecureROM процессоров Apple A12 и A13. Подчеркивается, что исправить эту уязвимость с помощью обновления ПО невозможно.
В своем отчете специалисты объясняют, что для реализации атаки требуется физический доступ к устройству. Гаджет нужно перевести в режим DFU и подключить через USB к специальной плате на базе микроконтроллера RP2350. После этого эксплоит срабатывает менее чем за две секунды, то есть до запуска подписанных компонентов цепочки загрузки.
Рабочий эксплоит и техническое описание проблемы были опубликованы в конце прошлой недели, после согласования со специалистами Apple. Отмечается, что эксплоит работает против A12, A13, S4 и S5, но теоретически атаку можно адаптировать для A12X и A12Z.
Проблема затрагивает: iPhone XS, XS Max, XR, линейку iPhone 11, iPhone SE второго поколения, iPad Air третьего поколения, iPad mini пятого поколения, iPad восьмого поколения, Apple Watch Series 4 и 5, первое поколение Apple Watch SE, HomePod mini и другие устройства на этих чипах.
При этом отмечается, что процессор A11 проблеме не подвержен, а также атака не работает на A14 и более новых чипах.
Уязвимость связана с USB-контроллером Synopsys DWC2 и тем фактом, что при обработке нестандартных Setup-пакетов контроллер некорректно перемещает указатель DMA-буфера. В итоге ошибка приводит к предсказуемому смещению указателя DMA-буфера и записи за нижней границей буфера (buffer underflow): указатель смещается назад с шагом 12 байт.
В случае процессоров A12 и A13 ситуация усугубляется конфигурацией USB DART — встроенного IOMMU. В SecureROM он работает в режиме bypass, поэтому DMA получает возможность перезаписывать произвольные области SRAM. В A11 драйвер USB сбрасывает адрес после каждого пакета, а с релизом A14 инженеры Apple, по всей видимости, настроили DART корректно.
Стоит подчеркнуть, что исследователям не удалось напрямую взломать Secure Enclave. Однако контроль над SecureROM может открыть дополнительные векторы атак на Secure Enclave, который защищает пароли, ключи шифрования и другие секреты.
В СМИ уже сравнивают проблему usbliter8 с нашумевшим эксплоитом checkm8 2019 года, который работал против устройств на базе процессоров A5–A11. При этом риски, связанные с usbliter8, невелики для обычных пользователей, так как атака требует физического доступа к устройству и перевода в режим DFU. Однако для организаций с жесткими требованиями к безопасности уязвимые гаджеты могут оказаться проблемой и потребовать постепенной замены.
«Хотя в более новых поколениях эту проблему уже устранили, устройства на базе A12 и A13 останутся уязвимыми до конца срока службы, — пишут исследователи. — Для всех, кто следит за историей эксплоитов и джейлбрейков iPhone, это исследование служит напоминанием о том, что BootROM все еще может преподносить сюрпризы».
