安全研究人员发布了一个针对苹果A12和A13芯片的新型无法修补的SecureROM漏洞利用程序,将公开的BootROM漏洞利用范围扩展到了checkm8所影响设备之外。
安全公司Paradigm Shift于6月18日披露了这个未修补的漏洞利用程序,名为usbliter8。它通过苹果USB引导过程中的一个缺陷实现了代码执行。
该漏洞影响搭载苹果A12和A13芯片的设备,包括iPhone XS、iPhone XS Max、iPhone XR以及iPhone 11系列。搭载S4和S5芯片的多款iPad型号和Apple Watch设备也受到影响。
- 11英寸iPad Pro(第一代)
- 11英寸iPad Pro(第二代)
- 12.9英寸iPad Pro(第三代)
- 12.9英寸iPad Pro(第四代)
- Apple Watch SE(第一代)
- Apple Watch Series 4
- Apple Watch Series 5
- iPad(第九代)
- iPad(第八代)
- iPad Air(第三代)
- iPad mini(第五代)
- iPhone 11
- iPhone 11 Pro
- iPhone 11 Pro Max
- iPhone SE(第二代)
- iPhone XR
- iPhone XS
- iPhone XS Max
虽然该问题主要集中在支持DFU模式的iPhone、iPad和Apple Watch等设备上,但Studio Display、HomePod mini以及第二代Apple TV 4K在技术上也使用了这些易受攻击的芯片组。此外还有提及A12X和A12Z可能在技术上支持该问题,但尚未实现,因此2018和2019年的iPad Pro型号也可能包含在内。
Usbliter8将USB控制器中的硬件缺陷与受影响设备上的安全保护配置方式相结合。该攻击通过设备固件更新模式(即众所周知的DFU模式)发挥作用。
成功利用后,研究人员可在iOS甚至开始加载之前获得控制权。该漏洞利用还支持引导链破坏和自定义USB请求处理。
该漏洞利用可以引导正常情况下不允许运行的修改版iPhone软件。Paradigm Shift的报告很严重,因为该漏洞存在于SecureROM中,这是iPhone启动时运行的第一段代码。
SecureROM会在操作系统其余部分加载之前验证苹果的软件,并作为设备安全模型的基础。苹果可以通过软件更新修补iOS、iPadOS和watchOS中的缺陷。
一次正确的Setup事务由主机发送的两个数据包组成。图片来源:Paradigm Shift
该代码内置于芯片本身,制造完成后无法替换。受影响的设备将保持易受攻击状态,除非用户更换为更新的硬件。
Usbliter8不影响A14芯片或更新的世代,因为后续版本的SecureROM似乎以不同方式配置了硬件保护。基于A11的设备也避开了该漏洞,因为它们的USB驱动程序会以防止攻击的方式重置内存地址。
为什么这个漏洞利用很重要
苹果的安全架构会在将控制权交给下一个阶段之前检查启动过程的每个阶段。成功的SecureROM漏洞利用可以绕过其中一些检查,并在设备启动的最早阶段获得访问权限。
SecureROM代码在制造完成后无法更新,因此通过usbliter8获得的访问权限可以经受软件更新、设备恢复和固件修订的考验。SecureROM层级的持久访问使usbliter8有别于典型的软件漏洞。
该漏洞利用不会赋予攻击者对用户数据的无限制访问权限。苹果的Secure Enclave Processor与该漏洞保持分离,并提供了额外的安全边界。
正确的寄存器值覆盖了研究人员破坏的值。图片来源:Paradigm Shift
Usbliter8不会直接破坏Secure Enclave。该漏洞利用仍可能扩展针对苹果平台其他部分的攻击范围。
该漏洞利用也面临实际限制。研究人员必须拥有设备的物理访问权限,并使用USB连接和DFU模式来执行攻击。
checkm8之后的新篇章
此次披露与checkm8形成了对比,后者是影响搭载A5至A11芯片的苹果设备的SecureROM漏洞利用。Checkm8因针对不可变的BootROM代码且无法通过软件更新修补而成为最具影响力的iPhone漏洞之一。
与checkm8一样,usbliter8也针对苹果引导过程的最早阶段。该漏洞利用同样无法通过软件更新完全修复。
自checkm8针对早期硬件世代以来,苹果尚未面临影响A12和A13设备的公开BootROM漏洞利用。Usbliter8以适用于这两个芯片家族的工作漏洞利用改变了这一局面。
技术论文的大部分内容聚焦于用于绕过更新苹果硬件上安全保护的技术。这些努力最终导致在受支持设备上成功执行代码。
影响A12和A13设备的公开SecureROM漏洞利用一直较为罕见,这使得usbliter8成为苹果安全历史中值得注意的补充。
Paradigm Shift在发布前向苹果产品安全部门披露了这些发现,并与苹果协调了发布时机。截至发布时,苹果尚未对该研究发表公开评论。
如何保持安全
由于usbliter8需要物理访问设备并通过USB使用DFU模式,其实用风险仍然有限。大多数用户在正常使用中不太可能遇到这种威胁模型。
安装安全更新、使用强密码以及避免设备无人看管无法修补SecureROM漏洞。但这些措施仍能增加攻击者获得物理访问权限的难度,从而难以利用usbliter8。
担心长期暴露风险的用户可以通过升级到搭载苹果A14芯片或更新硬件的设备来降低风险。该研究中描述的漏洞利用不影响这些设备。
