| 18 июня 2026 г. — 14:21 по тихоокеанскому времени
Исследователи из Paradigm Shift опубликовали технические подробности usbliter8 — нового неустранимого аппаратного эксплойта BootROM для iPhone, который позволяет выполнять произвольный код на устройствах с чипами Apple A12 и A13. Вот подробности.
Как работает usbliter8
В подробной технической публикации, вышедшей сегодня, команда Paradigm Shift описывает usbliter8 — новый эксплойт, который «использует аппаратную уязвимость USB-контроллера и специфический недостаток конфигурации во встроенном ПО устройства» и не может быть исправлен программным путем.
Команда PS поясняет, что до сегодняшнего раскрытия информации они поделились своими находками с отделом безопасности продуктов Apple для координации действий. Исследователи также поблагодарили команду безопасности Apple за «оперативный ответ, конструктивное взаимодействие и сотрудничество на протяжении всего процесса».
Вкратце, эта уязвимость затрагивает следующие системы на кристалле (SoC) Apple: A12, S4, S5 и A13. Хотя авторы в своем отчете прямо упоминают только iPhone, это касается следующих устройств, оснащенных данными процессорами:
- A12: iPhone XR, iPhone XS/XS Max, iPad Air 3, iPad mini 5, iPad 8 и Apple TV 4K второго поколения
- S4: Apple Watch Series 4
- S5: Apple Watch Series 5, Apple Watch SE первого поколения и HomePod mini
- A13: iPhone 11/11 Pro/11 Pro Max, iPhone SE второго поколения, iPad 9 и Studio Display
Они добавляют, что «техническая поддержка A12X/Z возможна», но «в настоящее время не реализована». Это может добавить линейки iPad Pro 2018 и 2020 годов в список затронутых устройств.
Принцип работы usbliter8 заключается в следующем: устройство получает специально подготовленные данные через USB, находясь в режиме DFU, что вводит USB-контроллер в заблуждение и заставляет его записывать данные в неверную область памяти.
Это дает злоумышленнику, имеющему физический доступ к устройству, контроль над процессом запуска. С этого момента он может запустить собственный код до загрузки iOS, обойти проверки подписи и загрузить модифицированное системное ПО.
Важно отметить, что эксплойт не затрагивает и не компрометирует защищенный анклав Secure Enclave, что на практике означает, что такие данные, как пароли и зашифрованные пользовательские данные, остаются в безопасности.
Тем не менее, команда PS отмечает: «хотя usbliter8 не затрагивает сам SEP, он открывает более широкие векторы атак для компрометации Secure Enclave», добавляя, что «выпуская этот эксплойт публично, мы надеемся подчеркнуть реальное влияние подобных аппаратных уязвимостей и способствовать более глубокому пониманию современной безопасности SecureROM».
Команда PS поясняет, что существуют разные методы использования эксплойта на чипах A12, S4, S5 и A13, причем эксплойт для A13 является более сложным, поскольку его SecureROM использует технологию PAC (Pointer Authentication) — функцию безопасности, призванную предотвратить перенаправление выполнения кода злоумышленниками.
Тем не менее, исследователи нашли способ обойти PAC, поэтапно повреждая определенные участки памяти, в конечном итоге взяв под контроль обработчик прерываний USB и используя его для запуска собственного кода.
Что дальше?
Учитывая, что это неустранимый эксплойт, исследователи отмечают, что «затронутым пользователям следует помнить, что переход на более новое оборудование остается самым эффективным средством защиты».
Интересно, что этот эксплойт не затрагивает чипы A11 и более ранние версии, которые подвержены другому неустранимому эксплойту BootROM, известному как checkm8.
После обнаружения того эксплойта он стал основой для нескольких инструментов джейлбрейка для старых iPhone и iPad, поэтому возможно, что то же самое произойдет и с устройствами, затронутыми usbliter8.
Помимо технического отчета, исследователи также опубликовали проект proof-of-concept на GitHub, который за несколько часов набрал более 280 звезд.
Их описание процесса очень техническое, но крайне любопытное. Чтобы узнать больше о usbliter8 и принципах его работы, перейдите по этой ссылке.
(благодарность за наводку Ги Рамбо)
Стоит посмотреть на Amazon