Apple A12 ve A13 Çiplerinde Onarılamaz BootROM Açığı: USB Hatası Fiziksel Erişimle Tüm Güvenliği Aşıyor Dünya Geneli

Apple A12 ve A13 Çiplerinde Onarılamaz BootROM Açığı: USB Hatası Fiziksel Erişimle Tüm Güvenliği Aşıyor

Apple A12, S4/S5 ve A13 çiplerinde keşfedilen BootROM açığı 'usbl8ter', fiziksel erişimle cihazın önyükleme zincirini ele geçirmeye olanak tanıyor ve

Araştırmacılar, Apple'ın A12, S4/S5 ve A13 sistem çiplerinde (SoC) daha önce bilinmeyen bir BootROM güvenlik açığı keşfetti. Paradigm Shift firması tarafından 'usbl8ter' adı verilen bu açık, fiziksel erişime sahip saldırganların cihazın önyükleme zincirini (boot chain) ele geçirmesine olanak tanıyor. Açık, USB denetleyicisindeki bir donanım güvenlik açığı ile SecureROM'daki bir üretici yazılımı yapılandırma hatasının birleşiminden kaynaklanıyor. BootROM kodu üretimden sonra değiştirilemez olduğu için bu güvenlik açığı, işletim sistemi güncellemesiyle tamamen kapatılamıyor, bu da onu Apple'ın son yazılım hatalarından ayıran kritik bir fark.

Paradigm Shift'in paylaştığı kanıt-kod (PoC), açığın istismar edilmesi için cihazın Aygıt Üretici Yazılımı Güncelleme (DFU) moduna alınmasını ve RP2350 tabanlı bir mikrodenetleyici donanımı kullanılmasını gerektiriyor. Bu durum, yaygın istismar riskini azaltmakla birlikte, ele geçirilmiş, çalınmış veya sahipsiz cihazlar için önemli bir tehdit oluşturuyor. Açık, uzaktan değil, yalnızca fiziksel erişimle istismar edilebiliyor.

Araştırmacılar, sorunun Synopsys DesignWare USB denetleyicisinin kurulum verilerini nasıl depoladığına kadar izini sürdü. Denetleyici, üç kurulum paketini tutabiliyor ve dördüncü bir işlem geldiğinde doğrudan bellek erişim (DMA) işaretçisini sabit bir miktarda sıfırlıyor. Denetleyici ayrıca eksik boyutlu paketleri kabul ediyor ve bunları 4 baytlık parçalar halinde depoluyor. Bu uyumsuzluk, işaretçinin geriye doğru hareket etmesine ve SecureROM tarafından kullanılan statik rastgele erişim belleğinin (SRAM) üzerine yazılmasına neden olan bir alt akış (underflow) ilkel hatasına yol açıyor.

Apple A12 ve A13 SecureROM'larında, Veri Adres Çözümleme Tablosu (DART) yapılandırmasının bu DMA davranışının uygulama işlemcisi önyükleme zincirini kırmasına izin verdiği belirtiliyor. A11 çipi aynı şekilde etkilenmiyor çünkü USB sürücüsü her paketten sonra DMA adresini sıfırlıyor. Kod yürütme yolu, çip nesline göre değişiyor. A12 ve S4/S5'te SecureROM, İşaretçi Doğrulama (Pointer Authentication) kullanmadığı için istismar, yığındaki bağlantı kaydını bozarak kod yürütme elde ediyor. Araştırmacılar daha sonra bu erişimi kullanarak önyükleme sürecini yamalıyor ve özel bir USB istek işleyicisi ile DFU moduna dönüyor.

Apple A13 ise daha karmaşık bir yol gerektiriyor çünkü İşaretçi Doğrulama, yığında depolanan dönüş adreslerini koruyor. Paradigm Shift, bu kısıtlamayı yığın manipülasyonu, görev durumu değişikliği ve bir kesme işleyicisinin üzerine yazma yoluyla aştığını söylüyor. Kanıt-kod şu anda hedeflenen SecureROM yolunu kullanan Apple A12 cihazlarını, aynı istismar stratejisiyle kapsanan Apple S4/S5 sistemlerini, İşaretçi Doğrulama atlatma çalışmasından sonra Apple A13 cihazlarını ve demotion (düşürme) ve ham iBoot önyüklemesi dahil DFU modu özelliklerini destekliyor.

Sistem Güvenliği

A14 ve sonraki çiplerde SecureROM'da DART'ın doğru yapılandırıldığı görülüyor, bu nedenle aynı yol istismar edilemez durumda. Paradigm Shift, usbl8ter'in doğrudan Güvenli Bölge'yi (Secure Enclave) tehlikeye atmadığını ancak BootROM seviyesindeki kontrolün daha geniş saldırı yolları açabileceği konusunda uyarıyor. Firma, etkilenen A12 ve A13 cihazlarının bu sorunu ömür boyu taşıyacağını ve en etkili önlemin daha yeni donanıma geçiş olduğunu belirtiyor. Bu güvenlik açığı, fiziksel erişim gerektirse de, yamalanamaz yapısı nedeniyle özellikle kolluk kuvvetleri veya kötü niyetli aktörlerin eline geçen cihazlar için ciddi bir tehdit oluşturuyor.

Kaynak: infosecurity-magazine.com

Paylaş: