В iPhone нашли «вечную» уязвимость на уровне загрузки. Но удалённо её не использовать

Европейская исследовательская компания Paradigm Shift раскрыла детали аппаратной уязвимости в SecureROM Apple и выпустила демонстрационный код эксплойта usbliter8. SecureROM — это самый ранний код, который запускается при включении iPhone. Он встроен в чип еще на производстве и лежит в основе цепочки доверенной загрузки: устройство проверяет, можно ли запускать следующий этап системы, и не подменен ли он. Ошибку в SecureROM нельзя переписать патчем: код физически зашит в чип. Уязвимые устройства останутся уязвимыми весь срок службы железа.

Новый эксплойт затрагивает устройства с чипами Apple A12 и A13, включая iPhone XS, XS Max, XR, iPhone 11, 11 Pro, 11 Pro Max и iPhone SE второго поколения. Также под удар попадают Apple Watch с S4 и S5, включая Series 4, Series 5 и Apple Watch SE первого поколения. Для A12X и A12Z исследователи допускают теоретическую возможность поддержки, но в опубликованной реализации она не добавлена.

Apple уточнила, что модели с A14/S6 и более новыми чипами не затронуты. Mac, по данным компании, тоже не попадают в область риска.

Usbliter8 использует ошибку в USB-контроллере, который обрабатывает служебные USB-пакеты на раннем этапе загрузки. Проблема проявляется до запуска операционной системы, когда устройство находится в режиме восстановления прошивки DFU.

Корень бага — в том, как контроллер работает с памятью при обработке коротких setup-пакетов USB. Контроллер хранит несколько таких пакетов подряд и двигает указатель записи в памяти. При определённой последовательности маленьких пакетов указатель начинает смещаться назад не так, как должен. В результате возникает запись за пределы ожидаемой области памяти.

На A11 такой путь не сработал: там USB-драйвер вручную сбрасывает адрес после каждого пакета. На A14 и новее исследователи увидели другую картину: DART настроен корректнее, поэтому этот конкретный путь эксплуатации не проходит.

Usbliter8 позволяет получить выполнение кода на самом раннем уровне загрузки — ещё до старта iOS. Это означает обход части проверок цепочки доверенной загрузки. Исследователи показали возможность запускать неподписанный код и временно снижать режим безопасности устройства.

Последним крупным публичным jailbreak такого класса был checkm8 в 2019 году. Он затрагивал устройства от A5 до A11 и тоже не мог быть закрыт обычным обновлением. Usbliter8 переносит похожий класс риска на более новые поколения — A12 и A13.

Есть важное ограничение: эксплойт не взламывает Secure Enclave напрямую. Secure Enclave — отдельный защищённый сопроцессор, который отвечает за ключи шифрования, биометрию и защиту пользовательских данных. Apple отдельно указала, что usbliter8 не обходит механизмы защиты данных и не даёт прямого доступа к файлам, фотографиям или сообщениям.

Контроль на уровне SecureROM открывает дополнительные направления атаки и может быть интересен исследователям, разработчикам jailbreak-инструментов, криминалистическим компаниям и тем, кто работает с физически изъятыми устройствами.

Удалённо через сайт, мессенджер, Wi-Fi или сотовую сеть usbliter8 не запускается. Атакующему нужно физически получить устройство, перевести его в специальный режим загрузки и подключить подготовленное USB-оборудование. Обычного ноутбука и стандартного кабеля недостаточно: опубликованная реализация рассчитана на микроконтроллерные платы семейства RP2350, например Raspberry Pi Pico 2 или похожие устройства.

Из-за этого риск для владельца iPhone, который просто носит телефон в кармане, остаётся низким. Главный сценарий — устройство потеряли, украли, изъяли или передали в чужие руки. 

Проблема находится в SecureROM. Это код, записанный в чип при производстве. Он не обновляется через iOS, не заменяется прошивкой и не лечится переустановкой системы.

Apple уже учла этот класс проблемы в новых поколениях. В A14 и более свежих чипах исследователи не смогли воспроизвести тот же путь атаки из-за другой настройки защиты памяти на раннем этапе загрузки. Компания также заявила, что исправила эту категорию риска в более новых устройствах ещё до публикации исследования.