usbliter8: Ny uoprettelig BootROM-sårbarhed rammer millioner af iPhones

• iPhone: XS, XS Max, XR, 11, 11 Pro, 11 Pro Max
• Andre: Apple Watch-modeller med S4- og S5-chips er også sårbare

A11-chippen er ikke sårbar, da dens USB-driver manuelt nulstiller DMA-markøren efter hver datapakke . A14 og nyere chips er også sikre, fordi de konfigurerer USB-hukommelsesbeskyttelsen (DART) korrekt i SecureROM .

Hvordan virker exploit’et?

Fejlen ligger i Synopsys DWC2 USB-controlleren, der er integreret i chippen . Den tekniske mekanisme er som følger:

1. Fejl i ringbuffer-pointer: Controlleren gemmer op til tre USB Setup-pakker i en DMA-buffer. Efter hver skrivning øges en hardwaremarkør med datastørrelsen. Efter den tredje pakke nulstilles markøren ved at trække et fast antal bytes (24) fra .
2. Tricket med små pakker: Controlleren accepterer pakker mindre end standarden på 8 bytes, men gemmer dem altid i 4-byte-justerede blokke. Dette skaber en uoverensstemmelse mellem den faktiske stigning og den faste reduktion, hvilket resulterer i et buffer underflow på 12 bytes – markøren bevæger sig baglæns i hukommelsen .
3. Hukommelsesoverskrivning: Dette gør det muligt at overskrive SRAM-områder, der burde være utilgængelige under opstart, herunder stack-data og heap-metadata .
4. Kodeeksekvering: På A12 kan en angriber overskrive en gemt returmarkør (LR) på USB-taskens stack for at overtage programtælleren (PC). På A13 kompliceres dette af PAC (Pointer Authentication Codes), hvilket kræver en multi-step-teknik .

Hvorfor kan den ikke fikses?

BootROM (SecureROM) er den allerførste kode, chippen kører, når enheden tændes. Den er indbrændt i skrivebeskyttet hukommelse (ROM) under chipfremstillingen og kan ikke ændres bagefter . Da den underliggende årsag er en hardwarefejl i USB-controlleren og ikke en softwarefejl, kan Apple ikke rette den med en firmware- eller iOS-opdatering . Den eneste effektive løsning for brugere er at skifte til en nyere enhed med en A14-chip eller nyere .