Usbliter8 hebelt Apples Boot-Schutz auf A12- und A13-Geräten aus

Zusammenfassung

Das europäische Cybersicherheitsunternehmen Paradigm Shift hat einen neuen BootROM-Exploit für Apple-Geräte offengelegt, der sich laut den Forschern nicht durch ein Software-Update beheben lässt. Der unter dem Namen Usbliter8 veröffentlichte Angriff zielt auf Apples SecureROM, also den fest im SoC verankerten ersten Code, den ein iPhone beim Start ausführt und der die Grundlage der gesamten sicheren Boot-Kette bildet. Betroffen sind iPhones mit A12- und A13-Chips, darunter iPhone XS, XR und 11, sowie Apple Watches mit S4- und S5-Chips. Die Forscher haben außerdem einen Proof of Concept veröffentlicht. Für den Angriff ist physischer USB-Zugriff auf das Zielgerät nötig: Ein speziell präpariertes USB-Gerät, etwa ein Raspberry Pi Pico 2 oder ein ähnliches Mikrocontroller-Board, sendet manipulierte USB-Setup-Pakete an das Ziel. Nach Angaben von Paradigm Shift lassen sich damit Signaturprüfungen umgehen und schon vor dem Laden des Betriebssystems unsignierte Firmware starten oder das Sicherheitsniveau des Geräts absenken.

Usbliter8 kombiniert laut Paradigm Shift einen Fehler im USB-Controller mit einer Schwäche in der Firmware-Konfiguration des Geräts. Der Angriff löst eine Schreiboperation außerhalb der vorgesehenen Speichergrenzen aus. Dadurch können Angreifer kritische Daten im Speicher überschreiben, die Kontrolle über den Prozessor übernehmen, Rechte ausweiten und beliebigen Code mit vollständigen Systemrechten ausführen.

Besonders gravierend ist die Position des Angriffs in der Boot-Kette. Da SecureROM fest in die Hardware eingebrannt ist, greift der Exploit auf der niedrigsten Ebene des Systems an, noch bevor das Betriebssystem geladen wird. Nach Darstellung der Forscher werden dabei Apples Signaturprüfungen umgangen. So kann ein Angreifer unsignierte Firmware laden oder die Sicherheitsstufe des Geräts herabsetzen.

Direkten Zugriff auf Nutzerdaten ermöglicht Usbliter8 den Angaben zufolge jedoch nicht. Paradigm Shift betont, dass der Secure Enclave Processor, kurz SEP, durch den Exploit nicht unmittelbar kompromittiert wird. Dieser separate Sicherheitsprozessor schützt die Nutzerdaten. Zugleich erklärten die Forscher, dass Usbliter8 zwar den SEP selbst nicht treffe, aber „breitere Angriffsvektoren eröffnet, um die Secure Enclave zu kompromittieren“.

Ein Fernangriff ist mit Usbliter8 nicht möglich. Der Angreifer muss das Zielgerät per USB mit einer speziell vorbereiteten Hardware verbinden. Paradigm Shift nennt dafür etwa einen Raspberry Pi Pico 2 oder ein vergleichbares Mikrocontroller-Board. Diese Voraussetzung macht den Exploit laut dem Bericht unter anderem für Anbieter forensischer Werkzeuge interessant.

Die Auswirkungen vergleicht der Bericht mit Checkm8, dem 2019 bekannt gewordenen BootROM-Exploit, durch den eine ganze iPhone-Generation dauerhaft für Jailbreaks anfällig blieb. Auch bei Usbliter8 liegt das Grundproblem in der Hardware: Die betroffenen Chips wurden 2018 und 2019 veröffentlicht, und die von den Forschern beschriebene Schwachstelle lässt sich nicht per Software-Update beseitigen.

Paradigm Shift teilte mit, die Erkenntnisse vor der Veröffentlichung an Apple gemeldet zu haben. Eine öffentliche Reaktion des Unternehmens auf die Forschung gab es laut dem Bericht bislang nicht. Die Sicherheitsfirma hat den Proof of Concept für Usbliter8 bereits veröffentlicht. Zur Begründung schrieb Paradigm Shift, man wolle die realen Auswirkungen dieser Klasse von Hardware-Schwachstellen dokumentieren, zum besseren Verständnis moderner BootROM-Sicherheit beitragen und zeigen, dass auch neuere SecureROM-Generationen weiterhin anfällig für subtile Hardwarefehler seien.

Usbliter8 hebelt Apples Boot-Schutz auf A12- und A13-Geräten aus

Ähnliche Artikel

Neueste Artikel