Sicherheitsforscher von Paradigm Shift haben Details zu einer neuen BootROM-Schwachstelle in Apples A12- und A13-Chips veröffentlicht. Der zugehörige Proof-of-Concept trägt den Namen „usbliter8“ und richtet sich gegen einen sehr frühen Teil des Startvorgangs.
- Neue BootROM-Schwachstelle in Apples A12- und A13-Chips
- Betroffen sind unter anderem iPhone XS, XR, iPhone 11 und iPhone SE 2
- Auch iPad Air 3, iPad mini 5 und weitere Geräte nutzen diese Chips
- Ein Software-Update kann die eigentliche BootROM-Lücke nicht schließen
- A14 und neuere Chips sollen auf diese Weise nicht ausnutzbar sein
Relevant ist die Meldung vor allem, weil hinter den Chipnamen konkrete Geräte stecken: Der A12 Bionic kam unter anderem im iPhone XS, iPhone XS Max, iPhone XR, iPad Air der 3. Generation, iPad mini der 5. Generation und iPad der 8. Generation zum Einsatz. Der A13 Bionic steckt unter anderem im iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max und iPhone SE der 2. Generation. Auch das iPad der 9. Generation und das Studio Display nutzen einen A13.
Warum die Lücke nicht einfach gepatcht werden kann
Die Schwachstelle betrifft die BootROM, auch SecureROM genannt. Das ist der Code, den ein iPhone oder iPad beim Einschalten als Erstes ausführt. Weil dieser Code direkt im Chip hinterlegt ist, kann Apple ihn bei bereits ausgelieferten Geräten nicht wie iOS oder iPadOS per Update austauschen.
Die BootROM ist ein fest im Chip gespeicherter Startcode. Sie läuft, bevor iOS oder iPadOS geladen werden. Wird dort eine Schwachstelle gefunden, kann sie bei bereits produzierten Geräten in der Regel nicht per Update entfernt werden.
Nach Angaben der Forscher nutzt „usbliter8“ einen Fehler im USB-Controller der betroffenen Chips aus. Während des Startvorgangs könne eine speziell präparierte Abfolge sehr kleiner USB-Pakete dazu führen, dass ein interner Speicherzeiger an Stellen schreibt, die eigentlich nicht erreichbar sein sollten.
Paradigm Shift spricht dabei ausdrücklich von einem Hardware-Fehler im USB-Controller, nicht von einem klassischen Software-Bug in iOS. A14 und neuere Chips sollen nach Einschätzung der Forscher nicht auf dieselbe Weise ausnutzbar sein, weil dort eine Schutzfunktion bereits in der SecureROM korrekt konfiguriert werde.
A12 ist einfacher angreifbar als A13
Der Exploit funktioniert den Forschern zufolge auf A12-Geräten einfacher als auf A13-Geräten. Beim A13 erschwert eine Schutztechnik namens Pointer Authentication Codes, kurz PAC, die Ausnutzung. Sie soll bestimmte Manipulationen an Speicheradressen erkennen und blockieren.
Trotzdem sei es den Forschern gelungen, auch auf A13-Geräten Kontrolle über den Prozessor zu erlangen. Der veröffentlichte Proof-of-Concept kann unter anderem Sicherheitsstufen temporär absenken und nicht signierte Software starten. Das betrifft nicht direkt die Secure Enclave, also den besonders geschützten Bereich für sensible Daten. Paradigm Shift weist aber darauf hin, dass ein BootROM-Kompromiss weitere Angriffswege auf diese Sicherheitsarchitektur eröffnen kann.
Was Nutzer daraus mitnehmen sollten
Für den Alltag bedeutet die Veröffentlichung nicht automatisch, dass jedes ältere iPhone oder iPad unmittelbar gefährdet ist. Der Angriff setzt einen sehr tiefen Zugriff auf den Startvorgang und USB-Kommunikation voraus. Es handelt sich eher um eine sicherheitstechnisch bedeutsame Grundlage für Forschung, Jailbreaks oder forensische Werkzeuge als um einen typischen Fernangriff über das Internet.
Trotzdem ist die Lücke bemerkenswert, weil sie dauerhaft in der betroffenen Hardware bleibt. Apple kann zwar weiterhin Schutzmaßnahmen in iOS und iPadOS verbessern, die eigentliche BootROM-Schwachstelle lässt sich bei ausgelieferten A12- und A13-Geräten aber nicht entfernen.
