نفوذ عمیق به قلب آیفون: حمله ‘usbliter8’ امنیت A12 و A13 را دور می‌زند

01

از 03

هسته فنی usbliter8

این کنترلر، بسته‌های USB Setup را از طریق DMA مدیریت می‌کند؛ بافر آن قادر به نگهداری سه بسته است و در چهارمین ورودی، با کاهش ثابت ۲۴ بایت، اشاره‌گر نوشتن را بازنشانی می‌کند. هم‌زمان، پشتیبانی از بسته‌های کوچکتر از استاندارد باعث می‌شود اشاره‌گر تنها به اندازه داده واقعی افزایش یابد. این عدم‌تطابق در طول زمان به underflow قابل تکرار منجر شده و اشاره‌گر نوشتن را به‌صورت مرحله‌ای ۱۲ بایت به عقب می‌راند.

برای مطالعه بیشتر: حافظه 1d DRAM سامسونگ در سال ۲۰۲۷ وارد فاز تولید می‌شود

قابلیت بهره‌برداری در A12 و A13 ناشی از نحوه پیکربندی USB DART (جدول تبدیل آدرس دستگاه، معادل IOMMU) در SecureROM است؛ جایی که این مولفه در حالت بای‌پس اجرا می‌شود.

در نتیجه، underflow در مسیر DMA می‌تواند به دسترسی و بازنویسی دلخواه در SRAM منتهی شود. در مقابل، A11 به‌دلیل ریست دستی آدرس DMA پس از هر بسته توسط درایور USB از این الگو مصون است و در نسل‌های A14 و جدیدتر نیز پیکربندی صحیح DART مانع از بهره‌برداری عملی از این آسیب‌پذیری شده است.

02

از 03

اجرای کد

در معماری A12، بافر DMA در مجاورت پشته وظیفه USB روی heap قرار گرفته است. بازنویسی یک link register ذخیره‌شده، در عمل به مهاجم امکان تصاحب کنترل program counter را در context switch بعدی می‌دهد. در A13، سازوکار پیچیده‌تر است. فناوری Pointer Authentication (PAC) از آدرس‌های بازگشت در stack محافظت می‌کند. با این حال، Paradigm Shift با زنجیره‌ای از تکنیک‌های تدریجی موفق به دورزدن این لایه شده است.

دست‌کاری ساختارهای heap مرتبط با DART یک primitive نوشتن محدود فراهم می‌کند. سپس با تغییر شمارنده عمق panic، رفتار سیستم از reboot به حلقه خطا تغییر می‌یابد. در ادامه، زمان‌بندی دقیق عملیات DMA از تخریب رجیسترهای حیاتی task USB جلوگیری می‌کند. در فاز نهایی، اشاره‌گر handler وقفه USB در ناحیه BSS بازنویسی می‌شود. با وقوع وقفه بعدی، کد تزریق‌شده توسط مهاجم اجرا شده و مسیر اجرا در نهایت به سطح دسترسی EL1 در SecureROM منتقل می‌شود.

03

از 03

توانایی‌های مهاجم

پس از بهره‌برداری، اکسپلویت «usbliter8» یک USB request handler سفارشی تزریق کرده و شناسه USB device را به PWND:[usbliter8] تغییر می‌دهد. در این مرحله، مهاجم قادر است حالت تولیدی SoC را تنزل دهد یا یک image بدون امضا از iBoot را بوت کند. این تحقیق نشان نمی‌دهد که Secure Enclave در معرض نفوذ قرار گرفته باشد. Secure Enclave اپل به‌عنوان یک مرز امنیتی جداگانه طراحی شده و از پردازنده اصلی ایزوله است. با این حال Paradigm Shift هشدار می‌دهد که کنترل در سطح BootROM می‌تواند مسیرهای جدیدی برای حمله به آن باز کند.

نزدیک‌ترین پیشینه تاریخی این آسیب‌پذیری، موسوم به checkm8 (2019) است که دستگاه‌های مبتنی بر A5 تا A11 را به‌صورت دائمی خارج از چرخه patching اپل قرار داد. مشابه checkm8، این رخنه نیز نیازمند دسترسی فیزیکی و حالت DFU بوده و با هیچ به‌روزرسانی نرم‌افزاری قابل اصلاح نیست. تفاوت کلیدی آن است که دامنه آسیب‌پذیری اکنون به نسل‌های جدیدتر سیلیکون نیز گسترش یافته است.

خبر پیشنهادی: تراشه های جدید Snapdragon کوالکام با فناوری ۲ نانومتری عرضه می شوند

ریسک برای کاربران عمومی محدود است، زیرا usbliter8 نیازمند دسترسی فیزیکی، تجهیزات تخصصی و کنترل ورود به DFU mode است. اما در محیط‌های با سطح امنیت بالا، این مسئله به یک چالش جدی در مدیریت فیزیکی تجهیزات تبدیل می‌شود. در صورت استفاده از این SoCها در سامانه‌های حساس، مرز امنیت فیزیکی بی‌اثر شده است. کنترل امنیت اکنون به مدیریت کامل زنجیره دسترسی فیزیکی و کنترل نقاط اتصال دستگاه وابسته است. سامانه‌های مبتنی بر A12، A13، S4 و S5 باید در اولویت جایگزینی با A14 یا جدیدتر قرار گیرند و استفاده از DFU روی کابل‌ها و میزبان‌های غیرقابل اعتماد باید به‌شدت محدود شود.