Невідкладна загроза: знайдено невиправну вразливість у чипах Apple A12 та A13

Які пристрої під загрозою?

Вразливість стосується всіх пристроїв, що працюють на чипах A12 та A13 Bionic . Повний список включає:

• iPhone: XS, XS Max, XR, 11, 11 Pro, 11 Pro Max, а також друге покоління iPhone SE .
• Apple Watch: моделі з чипами S4 та S5 .

Чіп A11, який використовувався в iPhone 8 та iPhone X, не вразливий, оскільки його USB-драйвер вручну скидає вказівник DMA після кожного пакета . Новіші чіпи, починаючи з A14, також у безпеці, тому що Apple належним чином налаштувала механізм захисту пам'яті USB DART у SecureROM . Таким чином, під ударом опинилися саме пристрої A12 та A13, які знаходяться в «сірій зоні» без належного захисту .

Як працює експлойт?

Суть вразливості криється у взаємодії апаратної помилки в USB-контролері Synopsys DWC2 та особливостях мікропрограми . Ось як це відбувається:

1. Помилка кільцевого буфера: Під час завантаження контролер зберігає до трьох USB-пакетів у буфері DMA. Після кожного запису він збільшує апаратний вказівник на розмір даних, а після третього — зменшує на фіксовані 24 байти .
2. Хитрість з малими пакетами: Контролер приймає пакети, менші за стандартні 8 байтів, але завжди зберігає їх блоками по 4 байти. Через це при отриманні дуже малого пакета величина збільшення вказівника не відповідає фіксованому зменшенню на 24 байти, що призводить до недозаповнення буфера (buffer underflow) — вказівник починає рухатися назад по пам'яті .
3. Перезапис пам'яті: Це дозволяє зловмиснику перезаписувати критичні області пам'яті SRAM, які мають бути недоступними під час завантаження, включаючи стек і метадані купи .
4. Отримання контролю: На A12 атака є простішою: перезапис регістра зв'язку (LR) дозволяє захопити лічильник команд і виконати власний код. На A13, через наявність захисту PAC (Pointer Authentication Codes), атака складніша і потребує кількох кроків для обходу перевірок .

Після успішної атаки пристрій позначається в USB серійним номером PWND, що сигналізує про компрометацію .

Чому це неможливо виправити?

BootROM (SecureROM) — це перший код, який виконується при включенні пристрою. Він «випалюється» в постійній пам'яті (ROM) на етапі виробництва мікросхеми і є незмінним після виходу з заводу . Оскільки причина — апаратна помилка в USB-контролері, а не програмна, Apple не може виправити її за допомогою оновлення iOS або мікропрограми. «Це якщо б ви намагалися виправити зламану деталь автомобіля, оновлюючи навігаційну систему. Фізичний дефект залишається, і жодне програмне забезпечення його не усуне», — пояснює ситуацію один з експертів . Єдиним надійним способом уникнути ризику є перехід на пристрої з новішими процесорами, починаючи з A14 .

Чи є ризик для звичайних користувачів?

Незважаючи на серйозність, для пересічного користувача ризик віддаленої атаки низький. Експлойт вимагає фізичного доступу до пристрою через USB та переведення його в спеціальний режим DFU (Device Firmware Update) . Це означає, що зловмисник повинен мати прямий доступ до вашого телефону. Однак, вразливість відкриває шлях для створення інструментів для джейлбрейку (jailbreak) нового покоління, що може призвести до встановлення несертифікованого програмного забезпечення. Більше того, хоча сам експлойт безпосередньо не атакує Secure Enclave (безпечний анклав), він значно знижує поріг для його потенційної компрометації .