usbliter8: Lỗ hổng BootROM vĩnh viễn không thể vá trên hàng triệu iPhone

• iPhone: iPhone XS, XS Max, XR (chip A12 Bionic); iPhone 11, 11 Pro, 11 Pro Max và iPhone SE thế hệ thứ hai (chip A13 Bionic) .
• Apple Watch: Các mẫu dùng chip S4 và S5 .

Đây là "người kế nhiệm" về mặt chủng loại của exploit checkm8 năm 2019, vốn ảnh hưởng đến chip A5–A11 . Lưu ý rằng chip A11 không bị ảnh hưởng vì trình điều khiển USB của nó tự động đặt lại con trỏ DMA sau mỗi gói tin . A14 trở lên cũng an toàn vì Apple đã cấu hình đúng cơ chế bảo vệ bộ nhớ USB DART trong SecureROM .

Lỗ hổng hoạt động như thế nào?

Lỗi nằm ở bộ điều khiển Synopsys DWC2 USB trên chip . Cơ chế khai thác như sau:

1. Sai lệch con trỏ bộ đệm vòng (ring-buffer): Bộ điều khiển lưu tối đa ba gói USB Setup liên tiếp trong bộ đệm DMA. Sau mỗi lần ghi, nó tăng con trỏ phần cứng lên một lượng bằng kích thước dữ liệu. Sau gói thứ ba, nó giảm con trỏ xuống 24 byte .
2. Thủ thuật gói tin nhỏ: Bộ điều khiển chấp nhận các gói tin nhỏ hơn 8 byte tiêu chuẩn nhưng luôn lưu trữ theo khung 4 byte. Khi nhận gói nhỏ, lượng tăng con trỏ không khớp với lượng giảm cố định là 24 byte, tạo ra lỗi buffer underflow 12 byte – con trỏ lùi dần trong bộ nhớ .
3. Ghi đè bộ nhớ: Kẻ tấn công có thể ghi đè vùng SRAM lẽ ra không thể truy cập trong quá trình khởi động, bao gồm dữ liệu stack và heap .
4. Thực thi mã: Trên A12, kẻ tấn công ghi đè thanh ghi LR (link register) trên stack của tác vụ USB để kiểm soát luồng thực thi. Trên A13, PAC (Pointer Authentication Codes) khiến việc này phức tạp hơn, đòi hỏi nhiều bước để phá vỡ lớp bảo vệ .

Khai thác thành công cho phép tạm thời hạ thấp cài đặt bảo mật và chạy phần mềm không được ký, với dấu hiệu nhận biết là dòng chữ PWND trong chuỗi serial USB .

Tại sao không thể vá?

BootROM (SecureROM) là mã đầu tiên chạy khi chip khởi động, được ghi cứng vào bộ nhớ ROM trong quá trình sản xuất và không thể thay đổi sau khi xuất xưởng . Bản chất của lỗ hổng này là lỗi phần cứng trong bộ điều khiển USB, không phải lỗi phần mềm, nên Apple không thể vá bằng bản cập nhật iOS hay firmware . Giải pháp duy nhất dành cho người dùng là nâng cấp lên thiết bị dùng chip A14 trở lên .