ចំណុចខ្សោយថ្មីនៅលើ iPhone BootROM ធ្វើឱ្យ SoC របស់ Apple រងការគំរាមកំហែងទាំងស្រុង

ចំណុចខ្សោយថ្មីមួយរបស់ BootROM ដែលមានឈ្មោះថា usbliter8 ប៉ះពាល់ដល់ឧបករណ៍ Apple ដែលដំណើរការដោយ A12, S4/S5 និង A13 SoCs។ ចំណុចខ្សោយនេះភ្ជាប់កំហុសកម្រិតផ្នែករឹងនៅក្នុងឧបករណ៍បញ្ជា Synopsys DWC2 USB ជាមួយនឹងចំណុចខ្សោយនៃការកំណត់រចនាសម្ព័ន្ធកម្មវិធីបង្កប់ ដែលអាចឱ្យមានការសម្របសម្រួលខ្សែសង្វាក់ចាប់ផ្ដើមដំណើរការកម្មវិធីពេញលេញដោយគ្មានបំណះកម្មវិធីដោយសារតែលក្ខណៈមិនផ្លាស់ប្តូរនៃកូដ BootROM។

យោងតាមអ្នកស្រាវជ្រាវ Paradigm Shift ចំណុចខ្សោយនេះមានប្រភពមកពីរបៀបដែលឧបករណ៍បញ្ជា DWC2 USB ដោះស្រាយកញ្ចប់ដំឡើង USB ជាប់ៗគ្នា។

ឧបករណ៍បញ្ជារក្សាទុកកញ្ចប់ដំឡើងរហូតដល់បីនៅក្នុងអង្គចងចាំមុនពេលកំណត់អាសយដ្ឋានមូលដ្ឋាន DMA (ដែលរក្សាទុកក្នុងបញ្ជី DOEPDMA) ទៅទីតាំងចាប់ផ្តើមរបស់វាឡើងវិញ ដោយដំណើរការដូចជាសតិបណ្ដោះអាសន្នរង្វង់។

ដោយសារតែឧបករណ៍បញ្ជាក៏ទទួលយកកញ្ចប់តូចៗដែលរក្សាទុកក្នុងបំណែក 4 បៃ នព្វន្តចង្អុលនឹងខូច។ ភាពមិនស៊ីគ្នារវាងការបង្កើនអថេរ និងការថយចុះថេរបង្កើតលំហូរសតិបណ្ដោះអាសន្នបឋមក្នុងជំហាន 12 បៃ ដែលអនុញ្ញាតឱ្យសរសេរដែលបានគ្រប់គ្រងទៅកាន់តំបន់អង្គចងចាំនៅខាងក្រៅសតិបណ្ដោះអាសន្នដែលចង់បាន។

នៅលើ A12 និង A13 USB DART (Device Address Resolution Table) ត្រូវបានកំណត់រចនាសម្ព័ន្ធក្នុងរបៀប bypass នៅក្នុង SecureROM មានន័យថាមិនមានរបាំង IOMMU ដើម្បីបញ្ឈប់ DMA ពីការសរសេរជាន់លើទិន្នន័យ SRAM តាមអំពើចិត្តនោះទេ។ A14 និងជំនាន់ក្រោយៗកំណត់រចនាសម្ព័ន្ធ DART បានត្រឹមត្រូវ ដែលធ្វើឱ្យភាពងាយរងគ្រោះមិនអាចកេងប្រវ័ញ្ចលើផ្នែករឹងថ្មីៗបាន។

ភាពខុសគ្នានៃការកេងប្រវ័ញ្ច៖ A12 ទល់នឹង A13

នៅលើ A12 និង S4/S5 ការកេងប្រវ័ញ្ចគឺសាមញ្ញណាស់។ សតិបណ្ដោះអាសន្ន DMA ស្ថិតនៅជាប់នឹងជង់ភារកិច្ច USB នៅលើ heap។ អ្នកវាយប្រហារបំផ្លាញ Link Register (LR) ដែលបានរក្សាទុក ដោយទទួលបានការគ្រប់គ្រងកុំព្យូទ័រក្នុងអំឡុងពេលប្តូរបរិបទកម្មវិធីកំណត់ពេល។

ខ្សែសង្វាក់ ROP បង្រួមបន្ទាប់មកបញ្ជូនបន្តការសរសេរ DMA ទៅក្នុង trampoline boot ដែលជាធម្មតាមិនអាចសរសេរពី EL0 មុនពេលលោតចូលទៅក្នុងទម្លាប់ផ្លាស់ប្តូរ EL1 របស់ SecureROM ដើម្បីប្រតិបត្តិ shellcode របស់អ្នកវាយប្រហារជាមួយនឹងសិទ្ធិពេញលេញ។

A13 ណែនាំ Pointer Authentication (PAC) ដែលធ្វើឱ្យស្មុគស្មាញដល់ការខូចខាត LR ដោយផ្ទាល់។ ក្រុមអ្នកស្រាវជ្រាវបានបង្កើតបច្ចេកទេសពហុជំហានដែលពាក់ព័ន្ធនឹងការសរសេរជាន់លើទិន្នន័យមេតា DART heap ដែលគ្រប់គ្រង ការបន្សាបការការពារ checksum heap និងការទប់ស្កាត់ការចាប់ផ្តើមឡើងវិញលើភាពភ័យស្លន់ស្លោដោយការសរសេរជាន់លើបញ្ជរភាពភ័យស្លន់ស្លោសកលជាមួយនឹង 0xF write primitive។

ការប្រតិបត្តិត្រូវបានបញ្ជូនបន្តនៅទីបំផុតតាមរយៈឧបករណ៍ដែលផ្ទុកសូចនាករមុខងារពីអង្គចងចាំដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដោយរំលង PAC ពីព្រោះមានតែសោ IB ប៉ុណ្ណោះដែលត្រូវបានបើកនៅក្នុងកម្មវិធីបង្កប់ ដែលជាកំហុសដែលបង្ហាញថាមានគ្រោះថ្នាក់ដល់ជីវិត។

ជាមួយនឹងការប្រតិបត្តិកូដ EL1 សម្រេចបាន ការកេងប្រវ័ញ្ចនេះចាក់បញ្ចូលឧបករណ៍ដោះស្រាយសំណើ USB ផ្ទាល់ខ្លួនទៅក្នុងកន្លែង trampoline ចាប់ផ្ដើមដែលមិនបានប្រើ បំណះលេខស៊េរី USB ដើម្បីរួមបញ្ចូលឧបករណ៍កំណត់អត្តសញ្ញាណ "PWND" និងស្ដារការបែងចែក heap ដែលខូចដើម្បីរក្សាស្ថេរភាពឧបករណ៍។

នៅលើ A13 កម្រិតនៃការខូចខាតអង្គចងចាំតម្រូវឱ្យមានការចាប់ផ្តើមឡើងវិញ SecureROM ពេញលេញ អ្នកស្រាវជ្រាវចម្លង ROM ទៅក្នុង SRAM កែសម្រួលវាឡើងវិញតាមរយៈតារាងបកប្រែ MMU ផ្ទាល់ខ្លួន និងភ្ជាប់ការបង្កើត ROM PTE ដើម្បីរក្សាភាពស៊ីសង្វាក់គ្នានៃទំហំអាសយដ្ឋានតាមរយៈការចាប់ផ្តើមឡើងវិញ។

កម្មវិធីដោះស្រាយផ្ទាល់ខ្លួនគាំទ្រប្រតិបត្តិការដែលមានសិទ្ធិពីរ៖ ការបន្ទាប SoC (បន្ថយរបៀបផលិតកម្មជាបណ្ដោះអាសន្ន) និងការចាប់ផ្ដើម iBoot ដែលមិនបានចុះហត្ថលេខា (រំលងការផ្ទៀងផ្ទាត់ហត្ថលេខាទាំងអស់លើរូបភាព iBoot ឆៅ) ដែលធ្វើឲ្យខ្សែសង្វាក់ចាប់ផ្ដើមសុវត្ថិភាពរបស់ Apple ក្លាយជាមោឃៈ។

ឧបករណ៍ និងការកាត់បន្ថយដែលរងផលប៉ះពាល់

SoC ដែលងាយរងគ្រោះដែលបានបញ្ជាក់រួមមាន៖

-Apple A12 (iPhone XS, XR, iPad Pro 2018)

-Apple S4/S5 (Apple Watch Series 4/5)

-Apple A13 (ស៊េរី iPhone 11)

ដោយសារតែភាពងាយរងគ្រោះរបស់ BootROM ស្ថិតនៅក្នុងស៊ីលីកុនដែលមិនអាចផ្លាស់ប្តូរបាន គ្មានការអាប់ដេតកម្មវិធី ឬកម្មវិធីបង្កប់ណាមួយអាចដោះស្រាយបញ្ហានេះបានទេ។ ការធ្វើចំណាកស្រុកទៅផ្នែករឹង A14 ឬក្រោយនេះនៅតែជាការកាត់បន្ថយដែលមានប្រសិទ្ធភាពតែមួយគត់។ អ្នកស្រាវជ្រាវកត់សម្គាល់ថា Secure Enclave Processor (SEP) របស់ Apple ផ្តល់នូវព្រំដែនសុវត្ថិភាពបន្ថែម ទោះបីជា usbliter8 បើកវ៉ិចទ័រធំទូលាយជាងមុនដើម្បីវាយប្រហារ Secure Enclave ដោយប្រយោលក៏ដោយ។

ការបង្ហាញព័ត៌មានសម្របសម្រួលដោយ Paradigm Shift ជាមួយ Apple Product Security មុនពេលបោះពុម្ពផ្សាយ។ ការកេងប្រវ័ញ្ចភស្តុតាងពេញលេញអាចរកបានជាសាធារណៈនៅក្នុងឃ្លាំងស្រាវជ្រាវរបស់ពួកគេ។