セキュリティ研究者は、Apple の A12 および A13 チップ向けにパッチが適用されていない新しい SecureROM エクスプロイトを公開し、CheckM8 の影響を受けるデバイスを超えてパブリック BootROM エクスプロイトを拡大しました。
セキュリティ企業の Paradigm Shift は、6 月 18 日に USBLitter8 と呼ばれるパッチが適用されていないエクスプロイトを公開しました。これは、Apple の USB ブート プロセスの欠陥を通じてコードを実行します。
この脆弱性は、iPhone XS、iPhone XS Max、iPhone XR、iPhone 11 ラインナップなど、Apple の A12 および A13 チップを搭載したデバイスに影響します。 S4 および S5 チップを搭載したいくつかの iPad モデルと Apple Watch デバイスも影響を受けます。
- 11 インチ iPad Pro (第 1 世代)
- 11 インチ iPad Pro (第 2 世代)
- 12.9 インチ iPad Pro (第 3 世代)
- 12.9インチiPad Pro(第4世代)
- アップルウォッチシリーズ4
- アップルウォッチシリーズ5
- iPad(第8世代)
- iPad Air(第3世代)
- iPad Mini (第5世代)
- iPhone11
- iPhone 11 プロ
- iPhone 11 プロマックス
- iPhone SE(第2世代)
- iPhone XR
- iPhone XS
- iPhone XS Max
Usbliter8 は、USB コントローラーのハードウェアの欠陥と、影響を受けるデバイスのセキュリティ保護の設定方法を結びつけます。この攻撃は、DFU モードとして知られるデバイス ファームウェア アップデート モードを通じて行われます。
悪用に成功すると、研究者は iOS がロードされる前でも iOS を制御できるようになります。このエクスプロイトにより、ブート チェーンの侵害やカスタム USB リクエストの処理も可能になります。
このエクスプロイトにより、通常の実行が許可されない変更された iPhone ソフトウェアが起動される可能性があります。 iPhone の起動時に最初に実行されるコードである SecureROM に脆弱性が存在するため、Paradigm Shift の報告は深刻です。
SecureROM は、オペレーティング システムの残りの部分が読み込まれる前に Apple のソフトウェアを検証し、デバイスのセキュリティ モデルの基盤として機能します。 Apple は、ソフトウェア アップデートを通じて iOS、iPadOS、watchOS の欠陥を修正できます。
適切にセットアップされたトランザクションは、ホストによって送信される 2 つのパケットで構成されます。画像クレジット: パラダイムシフトコードはチップ自体に埋め込まれており、製造後に変更することはできません。影響を受けるデバイスは、ユーザーが新しいハードウェアに交換するまで脆弱なままになります。
SecureROM の新しいバージョンではハードウェア セキュリティの構成が異なるようであるため、Usbliter8 は A14 チップ以降の世代には影響しません。 A11 ベースのデバイスも、USB ドライバが攻撃を防ぐ方法でメモリ アドレスをリセットするため、この脆弱性を回避します。
なぜ搾取が重要なのか
Apple のセキュリティ アーキテクチャは、制御を次のステップに渡す前に、起動プロセスの各ステップをチェックします。 SecureROM のエクスプロイトが成功すると、これらのチェックの一部がバイパスされ、デバイス起動の初期段階でアクセスが得られる可能性があります。
SecureROM コードは作成後に更新できないため、usbliter8 経由でアクセスすると、ソフトウェアの更新、デバイスの復元、ファームウェアの変更が妨げられる可能性があります。 SecureROM レベルでの永続的なアクセスにより、usbliter8 は一般的なソフトウェアの脆弱性と区別されます。
このエクスプロイトによって、攻撃者はユーザー データに無制限にアクセスできるようになります。 Apple の Secure Enclave はプロセッサを脆弱性から隔離し、追加のセキュリティ境界を提供します。
正しいレジスタ値は、研究者によって破損された値を上書きします。画像クレジット: パラダイムシフトUbliter8 は Secure Enclave を直接侵害しません。このエクスプロイトにより、Apple プラットフォームの他の部分に対する攻撃の範囲がさらに拡大する可能性があります。
悪用には実際的な限界にも直面しています。研究者はデバイスに物理的にアクセスし、USB 接続と DFU モードを使用して攻撃を実行する必要があります。
CheckM8 後の新しい章
この開示は、A5 ~ A11 チップを搭載した Apple デバイスに影響を与える SecureROM エクスプロイトである CheckM8 と比較されています。 Checkm8 は、不変の BootROM コードをターゲットにしており、ソフトウェア アップデートではパッチを適用できないため、最も影響力のある iPhone エクスプロイトの 1 つになりました。
checkm8 と同様に、usbliter8 は Apple のブート プロセスの初期段階をターゲットとしています。ソフトウェアアップデートを行っても、このエクスプロイトを完全に修正することはできません。
checkm8 が以前のハードウェア世代を対象にして以来、Apple は A12 および A13 デバイスに影響を与える公開 BootROM エクスプロイトに遭遇していません。 Ubliter8 は、両方のチップ ファミリで機能するエクスプロイトを使用してこれを変更します。
技術文書のほとんどは、新しい Apple ハードウェアのセキュリティ保護をバイパスするために使用される技術に焦点を当てています。これらの取り組みにより、最終的にはサポートされているデバイス上でコードが正常に実行されるようになりました。
A12 および A13 デバイスに影響を与えるパブリック SecureROM エクスプロイトはまれであるため、usbliter8 は Apple のセキュリティの歴史に顕著な貢献をしています。
Paradigm Shift は、公表前に調査結果を Apple Product Security に開示し、Apple とリリースを調整しました。 Apple はこの研究について、出版時点では公式にコメントしていませんでした。
安全を保つ方法
悪用するにはデバイスへの物理的なアクセスと USB 経由の DFU モードの使用が必要なため、Usbliter8 による実際的なリスクは限定的なままです。ほとんどのユーザーは、通常の使用中にその脅威的なモデルに遭遇する可能性は低いです。
セキュリティ更新プログラムをインストールし、強力なパスコードを使用し、無人のデバイスを回避しても、SecureROM の脆弱性は修正されません。この対策によっても、攻撃者が usbliter8 を悪用するために必要な物理的アクセスを取得することが困難になる可能性があります。
長期的なリスクを懸念するユーザーは、Apple の A14 チップ以降を搭載したハードウェアにアップグレードすることでリスクを軽減できます。研究で説明されているエクスプロイトは、これらのデバイスには影響しません。
Leave a Reply