Forscher entdecken kritischen und irreparablen Fehler im BootROM von iPhones mit A12- und A13-Chips
Eine neue Sicherheitslücke, die als nicht korrigierbar gilt, wurde von Forschern aufgedeckt und betrifft mehrere Apple-Geräte, die mit A12- und A13-Chips ausgestattet sind. Die Schwachstelle namens usbliter8 ermöglicht die direkte Ausführung nicht autorisierten Codes im BootROM der Geräte.
Wie usbliter8 die Gerätesicherheit gefährdet
Technische Details zu usbliter8 wurden heute vom Paradigm Shift-Team in einer ausführlichen Stellungnahme veröffentlicht. Die Sicherheitslücke nutzt einen Hardwarefehler im USB-Controller und eine bestimmte Konfiguration in der Firmware des Geräts aus und macht sie dauerhaft.
Das Paradigm Shift-Team berichtete, dass es vor der Veröffentlichung seiner Ergebnisse aktiv mit dem Produktsicherheitsteam von Apple zusammengearbeitet habe. Die Forscher bedankten sich auch für die schnelle Reaktion, das konstruktive Engagement und die Zusammenarbeit von Apple während des gesamten Outreach-Koordinierungsprozesses.
Kurz gesagt betrifft der Fehler direkt die folgenden Apple System-on-Chips (SoCs): A12, S4, S5 und A13. Obwohl im Text der Autoren ausdrücklich nur das iPhone erwähnt wird, nutzen mehrere andere Geräte diese Komponenten.
Die Liste der Geräte, die mit anfälligen SoCs ausgestattet sind, umfasst das iPhone XR, iPhone XS/XS Max, iPad Air 3, iPad mini 5, iPad 8 und das Apple TV 4K der zweiten Generation (mit A12-Chip). Die Apple Watch Series 4 nutzt den S4, während die Apple Watch Series 5, die Apple Watch SE der ersten Generation und der HomePod mini mit dem S5 ausgestattet sind. Zu den Geräten mit dem A13-Chip gehören schließlich das iPhone 11/11 Pro/11 Pro Max, das iPhone SE der zweiten Generation, das iPad 9 und das Studio Display.
Die Forscher fügen hinzu, dass technischer Support für die A12X/Z-Chips theoretisch möglich, jedoch noch nicht implementiert sei. In diesem Fall könnten die iPad Pro-Reihen 2018 und 2020 in die Liste der betroffenen Geräte aufgenommen werden.
Die Funktionsweise von usbliter8 besteht darin, speziell formatierte Daten über USB an das Gerät zu senden, während es sich im DFU-Modus (Device Firmware Update) befindet. Diese Aktion verwirrt den USB-Controller und führt dazu, dass er Daten in einen falschen Speicherbereich schreibt.
Durch dieses Verfahren erhält der Angreifer, der physischen Zugriff auf das Gerät benötigt, die Kontrolle über den Bootvorgang. Dadurch ist es möglich, bereits vor dem Laden des iOS-Betriebssystems eigenen Code auszuführen, Signaturprüfungen zu umgehen und so veränderte Systemsoftware zu starten.
Leia Também
Messi erzielt 19 Tore bei FIFA-Weltmeisterschaften mit einem großartigen Freistoß für Argentinien im Spiel gegen Jordanien
Cristiano Ronaldo glänzt bei der WM 2026 über das Spielfeld hinaus mit Geschäftsimperium und Familienluxus
Mit 41 bekräftigt Cristiano Ronaldo sein historisches Erbe und bereitet sich darauf vor, bei der Weltmeisterschaft 2026 zu glänzen
Es ist unbedingt zu beachten, dass die ausgenutzte Schwachstelle die Secure Enclave des Geräts nicht direkt gefährdet, was bedeutet, dass vertrauliche Informationen wie Passwörter und verschlüsselte Benutzerdaten geschützt bleiben. Es ist jedoch wichtig zu beachten, dass die Sicherheitslücke die Tür für zukünftige Angriffe öffnet, die diese Sicherheitsebene ausnutzen könnten.
Das Paradigm Shift-Team gibt an, dass usbliter8 zwar keine Auswirkungen auf die Secure Enclave selbst hat, aber „breitere Angriffsvektoren für die Gefährdung der Secure Enclave eröffnet“. Die öffentliche Offenlegung dieser Schwachstelle ziele ihrer Meinung nach darauf ab, die tatsächlichen Auswirkungen von Hardwarefehlern hervorzuheben und zu einem tieferen Verständnis der modernen SecureROM-Sicherheit beizutragen.
Experten von PS Team erklären, dass es mehrere Ansätze gibt, die Schwachstelle in den Chips A12, S4, S5 und A13 auszunutzen. Die Ausnutzung des A13-Chips ist jedoch schwieriger, da sein SecureROM Pointer Authentication (PAC) verwendet, eine Sicherheitsfunktion, die Angreifer daran hindern soll, die Codeausführung umzuleiten.
Trotz des Schutzes des PAC entdeckten Forscher eine Möglichkeit, ihn zu umgehen, indem sie mehrere Speicherabschnitte schrittweise und vorsichtig beschädigten. Schließlich gelang es ihnen, die Kontrolle über den USB-Interrupt-Handler zu übernehmen und damit ihren eigenen Code auszuführen.
Was Benutzer von Apple-Geräten tun können, wenn ein Fehler auftritt
Angesichts der Tatsache, dass es sich bei dieser Schwachstelle um eine intrinsische Schwachstelle handelt, die nicht durch Software-Updates behoben werden kann, raten die Forscher, dass „betroffene Benutzer bedenken sollten, dass die Migration auf neuere Hardware weiterhin die effektivste Lösung ist.“ Dies liegt daran, dass ein BootROM-Fehler dauerhaft ist und nicht per Software behoben werden kann.
Interessanterweise betrifft diese Schwachstelle keine A11-Chips oder früher. Diese älteren Chips wiederum sind anfällig für eine weitere irreparable Sicherheitslücke im BootROM, bekannt als checkm8. Dieser Vergleich verdeutlicht die Persistenz von Hardware-Schwachstellen über verschiedene Generationen von Apple-Produkten hinweg.
Nach der Entdeckung des checkm8-Fehlers diente dieser als Grundlage für die Entwicklung mehrerer Jailbreak-Tools für ältere iPhones und iPads. Mit der Entdeckung von usbliter8 ist es wahrscheinlich, dass sich ein ähnliches Szenario für Geräte wiederholt, die von dieser neuen Sicherheitslücke betroffen sind.
Neben der detaillierten technischen Beschreibung stellten die Forscher auch ein Proof-of-Concept-Projekt auf GitHub zur Verfügung. Das Repository hat innerhalb weniger Stunden nach seiner Veröffentlichung mehr als 280 Sterne gesammelt, was das Interesse der Community zeigt.
Die vollständige Erklärung des Prozesses ist recht technisch, bietet aber für Interessierte eine aufschlussreiche Lektüre. Um tiefer in die Funktionsweise von usbliter8 einzutauchen, ist der Originallink mit Details verfügbar.
