Neue unpatchbare BootROM-Lücke trifft Apple-Geräte mit A12- und A13-Chips

Der Exploit setzt voraus, dass ein Angreifer physischen Kontakt zum Zielgerät hat. Der Angriff wird ausgelöst, indem das betroffene Gerät in den DFU-Modus versetzt wird und anschließend manipulierte Datenpakete über die USB-Schnittstelle gesendet werden. Diese falschen Anweisungen verwirren den integrierten USB-Controller, sodass er Informationen in einen falschen Speicherbereich schreibt. Durch diese gezielte Speicherkorruption übernimmt der Angreifer die Kontrolle über den Startprozess, bevor das eigentliche Betriebssystem geladen wird. Auf dieser Ebene lassen sich digitale Signaturen umgehen und modifizierte Software starten.

Die Schwachstelle trifft vor allem Geräte mit den A12, A13, S4 und S5 Prozessoren. Die Liste der betroffenen Apple-Produkte ist breit gefächert und umfasst mehrere Generationen:

• iPhone XR, iPhone XS, iPhone XS Max
• iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max
• iPhone SE der zweiten Generation
• iPad Air 3, iPad mini 5, iPad 8 und iPad 9
• Apple Watch Series 4, Series 5 und SE
• HomePod mini, Studio Display und Apple TV 4K (2. Generation)

Ein Exploit für die leistungsstärkeren A12X und A12Z Chips, die in den iPad Pro Modellen von 2018 und 2020 stecken, ist technisch möglich, wurde von den Forschern jedoch noch nicht vollständig implementiert. Ältere Modelle mit dem A11 Chip oder Vorgängern sind von usbliter8 nicht betroffen, da sie auf einer anderen bekannten Lücke namens checkm8 basieren.

Trotz der gravierenden Eingriffsmöglichkeit in den Boot-Vorgang bleibt der Secure Enclave direkt von usbliter8 verschont. Der dedizierte Sicherheitschip schützt weiterhin Passcodes, biometrische Daten und die verschlüsselte Festplatte vor direktem Auslesen. Die Entwickler warnen jedoch davor, dass die neu entdeckte Lücke breitere Angriffsvektoren eröffnet, die langfristig zu indirekten Angriffen auf den Secure Enclave führen könnten. Besonders anspruchsvoll war die Umsetzung für den A13-Chip, der über die Pointer Authentication verfügt. Diese Sicherheitsfunktion soll Code-Umleitungen verhindern, wurde hier aber durch eine mehrstufige Speicherkorruption und die Übernahme des USB-Interrupt-Handlers erfolgreich umgangen.

Weil der Fehler tief in der Hardware-Logik des USB-Controllers und der Firmware-Konfiguration sitzt, scheidet ein klassischer Software-Patch vollständig aus. Der einzige wirksame Schutz für Nutzer, die ihre Geräte vor diesem Angriffsszenario schützen wollen, ist der Kauf eines Geräts mit neuerer Hardware. Die Forscher haben ihren Proof-of-Concept-Code auf GitHub veröffentlicht, wo das Projekt innerhalb weniger Stunden bereits über 280 Sterne sammelte. Ähnlich wie bei der historischen checkm8-Lücke könnte usbliter8 die technische Grundlage für zukünftige Jailbreak-Tools bilden, die die betroffenen Modelle entsperren. Apple Product Security wurde vor der Veröffentlichung informiert und hat die koordinierte Offenlegung unterstützt.

usbliter8 ist eine unpatchbare Hardware-Schwachstelle, die den Startprozess von Geräten mit A12- und A13-Chips über physischen USB-Zugriff kompromittiert. Während Passwörter und Nutzerdaten durch den Secure Enclave geschützt bleiben, gibt es keine Software-Lösung, sodass nur ein Gerätewechsel Abhilfe schafft. Die veröffentlichten Techniken könnten zudem die Basis für neue Jailbreak-Tools bilden.