Apple A12/A13、usbliter8 BootROM 脆弱性
Paradigm Shift は iPhone の BootROM(SecureROM)を USB 経由で侵害する usbliter8 を公開した。Synopsys DesignWare USB 2.0(DWC2)コントローラが Setup パケット用リングバッファを管理するとき、書き込みサイズに応じたポインタ増分と固定 24 バイト減算が一致せず、12 バイト刻みのバッファアンダーフローが起きる。Apple A12・A13 世代では SecureROM が USB DART をバイパス設定にしており SRAM を上書きでき、A11 はドライバが DMA アドレスを都度リセットするため非脆弱、A14 以降は SecureROM で DART が正しく設定され exploit 不能としている。
PoC が対応する SoC は Apple A12、S4/S5、A13。A12X/Z も技術的には可能だが未実装。A12 では USB タスクのスタック上 LR を上書きして PC 制御に至り、A13 では Pointer Authentication(PAC)やヒープメタデータ検証を段階的に迂回する。ポストエクスプロイトでは EL1 権限のコード実行、DFU 上の独自 USB ハンドラ注入、SoC プロダクションモードの一時的引き下げ、署名検査なしの iBoot 起動が可能になる。BootROM レベルの侵害は端末全体の信頼連鎖を揺るがすが、Secure Enclave Processor(SEP)自体は直接対象外。ただし SEP へ向けた攻撃面は広がりうる。
BootROM は不変コードのため、A12・A13 搭載端末は生涯この欠陥を抱え続ける。A14 以降は根本対策済み。Paradigm Shift は公開前に Apple Product Security へ報告し、協調開示した。
影響を受ける利用者は、機密性・完全性が BootROM 侵害に依存する用途では A14 以降の新ハードウェアへ移行するのが最も効果的な対処となる。物理 USB 接続を許可しない運用や、DFU モードへの不正遷移を監視するなど、端末へのアクセス制御も併せて検討する。