Empresa de pesquisa de segurança Paradigm Shift hoje publicado detalhes de uma nova vulnerabilidade do BootROM que afeta os chips A12 e A13 da Apple, junto com uma exploração de prova de conceito funcional chamada “usbliter8”.
O BootROM, ou SecureROM, é o primeiro código que um iPhone executa quando é ligado. Como é incorporado diretamente no chip na fabricação, qualquer vulnerabilidade encontrada não pode ser corrigida com uma atualização de software program, o que significa que os dispositivos afetados permanecerão vulneráveis pelo resto de suas vidas.
A última exploração desse tipo de BootROM publicamente conhecida foi “checkm8”, lançada em 2019, que afetou dispositivos desde o iPhone 4S até o iPhone X. usbliter8 agora estende essa história para a próxima geração de chips, cobrindo o iPhone XS até a série iPhone 11.
A exploração funciona aproveitando um bug no controlador USB embutido nos chips da Apple. Quando um iPhone recebe dados USB durante a inicialização, o controlador usa um buffer de memória para armazenar os pacotes recebidos. A Paradigm Shift descobriu que, ao enviar uma sequência específica de pacotes incomumente pequenos, eles poderiam manipular um ponteiro de {hardware} interno de uma forma que o fizesse retroceder na memória, permitindo que os dados fossem gravados em locais que nunca deveriam alcançar. Os pesquisadores dizem que isso parece ser um bug no próprio {hardware} do controlador USB, e não no software program da Apple.
O chip A11, usado no iPhone X, não é afetado porque seu driver USB redefine manualmente o ponteiro após cada pacote. Os chips A14 e posteriores também são seguros, pois configuram corretamente um recurso de proteção de memória no nível BootROM. A A12 e a A13 situam-se num meio-termo vulnerável entre as duas.
Em dispositivos A12, obter a execução do código é relativamente simples. Em dispositivos A13, as coisas são consideravelmente mais difíceis porque a Apple introduziu um recurso de segurança chamado Pointer Authentication Codes (PAC), que detecta e bloqueia certos tipos de violação de memória. A Paradigm Shift diz que trabalhar em torno do PAC no A13 exigiu um longo processo de várias etapas antes que os pesquisadores pudessem finalmente assumir o controle do processador.
Uma vez sob controle, a exploração instala um manipulador personalizado que sobrevive à reinicialização do dispositivo e adiciona dois recursos: redução temporária das configurações de segurança do dispositivo e inicialização de software program não assinado sem qualquer verificação. Ele também injeta a tradicional string “PWND” no número de série USB do iPhone como um sinal de que o dispositivo foi comprometido, uma convenção que vem do checkm8 e de explorações anteriores.
Paradigm Shift observa que, embora o usbliter8 não afete o Safe Enclave diretamente, um comprometimento do BootROM desse tipo abre caminhos mais amplos para atacá-lo. A empresa afirma que relatou suas descobertas à Apple Product Safety antes da publicação e trabalhou com a Apple na divulgação coordenada. O código completo da prova de conceito foi publicado junto com o artigo em ps.tc.
