Exploit usbliter8: il bootrom non patchabile di Apple A12 e A13 espone a attacchi fisici

Cos’è usbliter8 e perché è così pericoloso

Un exploit denominato usbliter8, sviluppato da ricercatori di sicurezza, dimostra come sia possibile eseguire codice arbitrario all’interno del SecureROM di Apple A12 e A13. Il SecureROM è una porzione di codice memorizzata direttamente nella memoria non volatile dei chip, scritta durante la fabbricazione e quindi non modificabile tramite aggiornamenti software. Questa caratteristica lo rende intrinsecamente vulnerabile: una volta sfruttato, il difetto persiste per tutta la vita del dispositivo, indipendentemente dagli aggiornamenti di sistema successivi.

La pericolosità di usbliter8 risiede nella sua capacità di aggirare il meccanismo di sicurezza principale di Apple: la catena di boot firmata. Normalmente, ogni passaggio del processo di avvio viene verificato tramite firme digitali per garantire che solo codice autorizzato venga eseguito. Tuttavia, questo exploit consente di eseguire codice malevolo già durante la fase iniziale del boot, prima che il sistema operativo e i controlli di sicurezza entrino in funzione. Il risultato è un accesso completo al dispositivo, con la possibilità di installare software non autorizzato, bypassare le restrizioni di sistema e persino recuperare dati sensibili.

Come funziona l’exploit: un attacco fisico e mirato

usbliter8 non è un attacco remoto: richiede l’accesso fisico al dispositivo. Per essere sfruttato, il dispositivo deve essere in modalità DFU (Device Firmware Update) e collegato tramite cavo USB a una scheda di controllo basata su RP2350, una piattaforma microcontroller open source. L’intero processo di exploit richiede meno di due secondi, un intervallo di tempo talmente breve da prevenire qualsiasi reazione da parte dei meccanismi di sicurezza integrati.

Il funzionamento si basa su una vulnerabilità nella gestione delle comunicazioni USB a basso livello all’interno del SecureROM. La scheda RP2350 invia pacchetti USB appositamente predisposti che sfruttano un difetto nel modo in cui il controller USB gestisce la memoria. In particolare, il controller memorizza i pacchetti tramite DMA (Direct Memory Access) in un buffer, ma a causa di un errore di gestione dei puntatori, è possibile provocare un underflow del buffer. Questo consente di scrivere in aree di memoria non previste, inclusa la memoria SRAM adiacente al codice di sistema.

Le condizioni tecniche: DMA, DART e il ruolo del SecureROM

Il cuore della vulnerabilità risiede nell’interazione tra il controller USB, il DMA e il DART (Device Address Resolution Table), una sorta di IOMMU integrata nel chip. Su A12 e A13, il DART viene configurato in modalità bypass all’interno del SecureROM, il che significa che non applica alcun controllo sulla memoria accessibile tramite DMA. Questo permette al buffer underflow di raggiungere e sovrascrivere porzioni arbitrarie di SRAM, inclusi dati critici come lo stack delle chiamate di sistema.

Su A12, il buffer DMA si trova vicino allo stack del task USB nella memoria heap. Sovrascrivendo un registro di salvataggio (link register), l’attaccante ottiene il controllo del program counter al successivo cambio di contesto, consentendo l’esecuzione di codice arbitrario. Su A13, la situazione è più complessa: Apple ha introdotto il Pointer Authentication, una tecnologia che protegge i puntatori di memoria tramite firme crittografiche. Tuttavia, i ricercatori hanno dimostrato che anche questa protezione può essere aggirata in determinate condizioni, rendendo l’exploit comunque fattibile.

Dispositivi interessati: chi è a rischio e perché

L’exploit usbliter8 colpisce una vasta gamma di dispositivi Apple basati su chip A12 e A13. Tra questi figurano iPhone XS, XS Max e XR, iPhone 11, 11 Pro e 11 Pro Max, iPhone SE di seconda generazione, iPad Air di terza generazione, iPad mini di quinta generazione, iPad di ottava generazione, Apple Watch Series 4 e 5, Apple Watch SE di prima generazione e HomePod mini. Anche altri prodotti Apple che utilizzano questi SoC potrebbero essere vulnerabili.

È importante notare che i chip A11 non sono interessati da questa vulnerabilità, grazie a una gestione diversa del DMA da parte del driver USB, che resetta manualmente l’indirizzo dopo ogni pacchetto ricevuto. Allo stesso modo, i chip A14 e successivi sembrano immuni a questo specifico vettore di attacco, poiché il DART viene configurato correttamente, impedendo l’underflow del buffer. Tuttavia, la scoperta di usbliter8 dimostra che anche le protezioni hardware possono essere aggirate con le giuste conoscenze tecniche.

Perché questo exploit non può essere patchato

La natura stessa del SecureROM rende impossibile correggere questa vulnerabilità tramite aggiornamenti software. Il codice risiede nella memoria ROM del chip, una memoria non volatile e non modificabile dopo la produzione. Apple non può distribuire un aggiornamento per eliminare il difetto, poiché la ROM non è accessibile in scrittura. Questo significa che tutti i dispositivi interessati rimarranno vulnerabili per tutta la loro vita operativa, indipendentemente dagli aggiornamenti di iOS, iPadOS o watchOS.

La situazione è simile a quella di altre vulnerabilità hardware storiche, come le falle nei bootrom di dispositivi Apple precedenti, che hanno richiesto la sostituzione fisica del chip per essere risolte. Tuttavia, in questo caso, la diffusione dei dispositivi interessati è molto ampia, rendendo la sostituzione di massa impraticabile. Gli utenti devono quindi considerare il rischio residuo e adottare misure di protezione alternative, come l’evitamento di accessi fisici non controllati al dispositivo.

Implicazioni per la sicurezza e la privacy degli utenti

L’impatto di usbliter8 va oltre la semplice esecuzione di codice arbitrario. Un attaccante che ottiene l’accesso fisico al dispositivo può installare malware persistente, bypassare le restrizioni di sandboxing e accedere a dati sensibili, inclusi quelli memorizzati in aree protette della memoria. Questo include credenziali di accesso, chiavi crittografiche e informazioni personali. Inoltre, l’exploit può essere utilizzato per bypassare i controlli di sicurezza di iOS, consentendo l’installazione di applicazioni non firmate o il jailbreak del dispositivo.

Per gli utenti, questo significa che la sicurezza del dispositivo dipende ora in modo critico dal controllo fisico dello stesso. Dispositivi lasciati incustoditi, anche per brevi periodi, potrebbero essere compromessi senza lasciare tracce immediate. Inoltre, la possibilità di eseguire codice a livello di boot apre la strada a tecniche di attacco avanzate, come l’intercettazione delle comunicazioni USB o l’iniezione di codice durante il processo di avvio, rendendo la difesa particolarmente complessa.

Cosa possono fare gli utenti e le organizzazioni

Gli utenti che possiedono dispositivi basati su A12 o A13 dovrebbero adottare una serie di misure per mitigare il rischio. Innanzitutto, è fondamentale evitare di lasciare il dispositivo incustodito in ambienti non sicuri. Se il dispositivo viene perso o rubato, è consigliabile considerarlo potenzialmente compromesso e procedere con la revoca delle credenziali salvate e la cancellazione dei dati sensibili.

Per le organizzazioni, la gestione dei dispositivi mobili (MDM) diventa ancora più critica. È necessario implementare politiche che limitino l’accesso fisico ai dispositivi aziendali e monitorare eventuali comportamenti anomali. Inoltre, l’utilizzo di soluzioni di crittografia avanzata e l’adozione di politiche di sicurezza che prevedano la rimozione dei dati in caso di compromissione possono ridurre l’impatto di un eventuale attacco.

Il futuro delle protezioni hardware in Apple e oltre

La scoperta di usbliter8 solleva importanti domande sulla resilienza delle protezioni hardware nei dispositivi moderni. Apple ha storicamente puntato su soluzioni hardware per garantire la sicurezza dei suoi dispositivi, ma questa vulnerabilità dimostra che anche i livelli più bassi del firmware possono essere compromessi. È probabile che Apple stia già lavorando a contromisure per i modelli futuri, ma per i dispositivi attuali, la soluzione più efficace rimane la prevenzione dell’accesso fisico.

Per il settore tecnologico in generale, questo exploit sottolinea l’importanza di una progettazione sicura fin dalle fasi iniziali dello sviluppo hardware. L’adozione di meccanismi di sicurezza come il DART configurato correttamente e la protezione dei puntatori tramite tecniche avanzate come il Pointer Authentication sono passaggi necessari, ma non sufficienti. La sicurezza deve essere considerata un processo continuo, che richiede test approfonditi, revisioni del codice e una cultura della sicurezza che permei ogni livello dell’organizzazione.

Cosa monitorare nei prossimi mesi

Nei prossimi mesi, è probabile che emergano ulteriori dettagli tecnici su usbliter8, inclusi nuovi metodi per aggirare le protezioni hardware di A13 o estendere l’exploit ad altri chip. Inoltre, potrebbero essere sviluppati toolkit automatizzati che semplificano l’utilizzo dell’exploit, rendendolo accessibile anche a attaccanti meno esperti. Gli utenti e le organizzazioni dovrebbero monitorare gli annunci di Apple relativi a nuove protezioni hardware e firmware, nonché le raccomandazioni della comunità di sicurezza per mitigare il rischio.

Un altro aspetto da monitorare è l’evoluzione delle politiche di supporto di Apple. Se l’azienda dovesse decidere di limitare il supporto per i dispositivi più vecchi, questo potrebbe influenzare la sicurezza a lungo termine degli utenti. Infine, è possibile che altre vulnerabilità simili emergano in futuro, evidenziando la necessità di una maggiore trasparenza e collaborazione tra produttori e ricercatori di sicurezza per prevenire exploit di questo tipo.