Pesquisadores da Paradigm Shift publicaram os detalhes técnicos do usbliter8, uma nova vulnerabilidade incorrigível do BootROM do iPhone que permite a execução arbitrária de código em dispositivos equipados com chips A12 e A13 da Apple. Aqui estão os detalhes.
Como funciona o usbliter8
Em uma postagem técnica altamente detalhada publicada hoje, a Paradigm Shift Team detalha o usbliter8, uma nova exploração que “aproveita tanto um bug de hardware no controlador USB quanto uma falha de configuração específica presente no firmware do dispositivo” e não pode ser corrigida.
A equipe PS explica que antes da divulgação de hoje, compartilhou suas descobertas e trabalhou com a Apple Product Security para coordenar o lançamento. Os pesquisadores também agradeceram à equipe de segurança da Apple por sua “resposta rápida, envolvimento construtivo e cooperação durante todo” o processo.
Resumindo, esse bug afeta os seguintes SoCs da Apple: A12, S4, S5 e A13. Embora os autores apenas mencionem explicitamente o iPhone em seu artigo, estes são os dispositivos equipados com estes SoCs:
- A12: iPhone XR, iPhone XS/XS Max, iPad Air 3, iPad mini 5, iPad 8 e Apple TV 4K de segunda geração
- S4: Apple Watch Série 4
- S5: Apple Watch Series 5, Apple Watch SE de primeira geração e HomePod mini
- A13: iPhone 11/11 Pro/11 Pro Max, iPhone SE de segunda geração, iPad 9 e Studio Display
Eles acrescentam que “o suporte técnico para A12X/Z é possível”, mas “não está implementado atualmente”. Isso poderia adicionar as linhas do iPad Pro 2018 e 2020 à lista.
A forma como o usbliter8 funciona é: ele envia dados especialmente criados para um dispositivo via USB enquanto está no modo DFU, confundindo o controlador USB e fazendo com que ele grave dados na parte errada da memória.
Imagem: Apresentando usbliter8
Isso dá ao invasor acesso físico ao controle do dispositivo sobre seu processo de inicialização. A partir daí, eles podem executar seu próprio código antes do carregamento do iOS, ignorar verificações de assinatura e inicializar software de sistema modificado.
É importante ressaltar que a exploração não afeta nem compromete o Secure Enclave do dispositivo, o que na prática significa que dados como senhas e dados criptografados do usuário permanecem seguros.
Dito isso, a equipe PS afirma que “embora o usbliter8 não afete o SEP em si, ele abre vetores de ataque mais amplos para comprometer o Secure Enclave”, acrescentando que “ao liberar esta exploração publicamente, esperamos destacar o impacto no mundo real dessas falhas de hardware e contribuir para uma compreensão mais ampla da segurança moderna do SecureROM”.
A equipe PS explica que existem diferentes métodos para aproveitar a exploração nos chips A12, S4, S5 e A13, sendo a exploração A13 mais complexa porque seu SecureROM usa Autenticação de Ponteiro, ou PAC, um recurso de segurança projetado para evitar que invasores redirecionem a execução de código.
No entanto, os pesquisadores encontraram uma maneira de contornar o PAC corrompendo cuidadosamente várias partes da memória em etapas, eventualmente assumindo o controle do manipulador de interrupção USB e usando-o para executar seu próprio código.
E agora?
Dado que esta também é uma exploração que não pode ser corrigida, os pesquisadores observam que “os usuários afetados devem estar cientes de que a migração para hardware mais recente continua sendo a mitigação mais eficaz”.
de preferência, esta exploração não afeta os chips A11 ou anteriores, que são vulneráveis a uma exploração separada do BootROM, não corrigida, conhecida como checkm8.
Depois que essa exploração foi descoberta, ela se tornou a base para várias ferramentas de jailbreak direcionadas a iPhones e iPads mais antigos, portanto é possível que o mesmo aconteça com os dispositivos afetados pelo usbliter8.
Além do artigo técnico, os pesquisadores também publicaram um projeto de prova de conceito no GitHub, que acumulou mais de 280 estrelas em apenas algumas horas.
A descrição do processo é altamente técnica, mas uma leitura fascinante. Para saber mais sobre o usbliter8 e como ele funciona, siga este link.
(h/t Gui Rambo)
Vale a pena conferir na Amazon
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
