Необновляемая уязвимость usbliter8 разрушает цепочку SecureROM в чипах Apple A12 и A13

Компьютерная безопасность переживает новый вызов: группа исследователей из Paradigm Shift опубликовала технические детали и работающий прототип эксплойта под названием usbliter8. Этот инструмент позволяет выполнять произвольный машинный код внутри SecureROM — низкоуровневой прошивки, «вшитой» в процессоры Apple A12 и A13 на этапе производства. В отличие от традиционных уязвимостей, которые можно закрыть обновлением прошивки или операционной системы, данная проблема остаётся неисправимой на всём жизненном цикле устройства. Эксплойт не работает удалённо: для его срабатывания злоумышленник должен получить физический доступ к устройству, перевести его в режим DFU и подключить через USB к специальной плате на базе микроконтроллера RP2350. После этого атака завершается менее чем за две секунды — ещё до того, как вступает в силу подписанная цепочка загрузки Apple. Соответствующий технический отчёт и доказательство концепции были обнародованы 18 июня 2026 года после согласованного раскрытия информации в Apple Product Security.

В публичной версии прототипа подтверждена поддержка целого ряда систем-на-кристалле: A12, A13, S4 и S5. Для A12X и A12Z возможность эксплуатации заявлена теоретически, но пока не реализована в коде. В список устройств, подверженных риску, входят iPhone XS, XS Max и XR; iPhone 11, 11 Pro и 11 Pro Max; iPhone SE второго поколения; iPad Air третьего поколения, iPad mini пятого поколения и iPad восьмого поколения; Apple Watch Series 4 и 5; Apple Watch SE первого поколения; HomePod mini; а также другие продукты Apple, собранные на указанных чипах. Важно, что чипы A11 и новее (начиная с A14) не уязвимы к данному эксплойту через этот вектор атаки. Исследователи подчёркивают, что их находка не затрагивает более современные поколения процессоров, что оставляет Apple пространство для манёвра при разработке новых устройств.

Как работает эксплойт: от USB-пакетов до произвольного кода

С точки зрения технической реализации, эксплойт usbliter8 использует особенности работы USB-контроллера и его взаимодействия с SecureROM. Контроллер принимает USB Setup-пакеты через DMA (прямой доступ к памяти) и буферизует до трёх пакетов, сохраняя их в памяти. На четвёртом пакете указатель записи сбрасывается нестандартным образом: вместо продвижения вперёд он уменьшается на фиксированные 24 байта. Более того, контроллер корректно обрабатывает пакеты меньшего размера, чем ожидалось, увеличивая указатель только на фактическое количество записанных байт. В результате этих двух механизмов возникает накопительное переполнение буфера, при котором указатель записи смещается назад на 12 байт за каждую итерацию. Это создаёт воспроизводимый сценарий, при котором указатель постепенно «шагает» назад по памяти, открывая доступ к ранее записанным данным.

Ключевую роль в эксплуатации играет конфигурация USB DART (Device Address Resolution Table) — аналога IOMMU (аппаратного модуля управления адресами ввода-вывода) внутри SecureROM. На уязвимых устройствах (A12 и A13) DART настроен в режиме bypass, что позволяет DMA-указателю, переполненному в результате описанного выше сценария, достигать и перезаписывать произвольные области SRAM. В чипах A11 и новее (начиная с A14) конфигурация DART изменена, что делаёт вектор атаки неработоспособным. На A12 область DMA-буфера вплотную прилегает к стеку задачи USB на куче. Перезаписывая сохранённый регистр возврата (link register), злоумышленник получает контроль над программным счётчиком (program counter) в момент следующего переключения контекста. На A13 задача усложняется из-за наличия механизма Pointer Authentication, который защищает указатели и адреса возврата, но, как показывает прототип, не является абсолютной преградой.

Какие устройства под угрозой и почему это критично

Под угрозой находятся устройства Apple, оснащённые процессорами A12, A13, S4 и S5. К числу наиболее распространённых моделей относятся iPhone XS/XS Max/XR, iPhone 11/11 Pro/11 Pro Max, iPhone SE (2-го поколения), а также линейка планшетов iPad Air (3-го поколения), iPad mini (5-го поколения) и iPad (8-го поколения). Уязвимыми также являются смарт-часы Apple Watch Series 4 и 5, а также первое поколение Apple Watch SE. Домашний аудиоустройство HomePod mini также использует один из указанных чипов и, следовательно, подвержено атаке. Важно отметить, что A12X и A12Z теоретически уязвимы, но на момент публикации реализация эксплойта для них не завершена. Процессоры A11 и новее (начиная с A14) не подвержены данному типу атаки, что даёт Apple потенциальную возможность мигрировать на более защищённые чипы в будущих поколениях устройств.

Последствия эксплуатации уязвимости насчитывают несколько уровней. Во-первых, атака требует физического доступа к устройству, что ограничивает её применение в массовых кампаниях. Однако в условиях целенаправленных атак — например, при компрометации личных устройств журналистов, политиков, бизнесменов или сотрудников компаний — угроза становится крайне реальной. Во-вторых, поскольку эксплойт выполняется на уровне SecureROM, он обходит все программные механизмы защиты, включая шифрование данных, Face ID, Touch ID и защиту от несанкционированного доступа. Это означает, что злоумышленник может получить полный контроль над устройством, включая возможность установки модифицированной прошивки, извлечения данных из защищённых хранилищ или даже создания постоянного бэкдора, который переживёт переустановку операционной системы. В-третьих, учитывая, что уязвимость неисправима программно, пользователи остаются уязвимыми до тех пор, пока не заменят устройство на модель с защищённым чипом.

Почему эта уязвимость не закрывается обновлением прошивки

SecureROM — это прошивка, «вшитая» в процессор на этапе производства. Она загружается первой при включении устройства и отвечает за проверку целостности загрузчика и ядра операционной системы. Поскольку SecureROM хранится в защищённой области памяти, недоступной для изменения после выпуска чипа, ни одно обновление программного обеспечения не может исправить эту уязвимость. Apple не может выпустить патч, который изменит конфигурацию SecureROM или исправит ошибку в драйвере USB на уровне прошивки. Единственный способ защиты — это миграция на устройства с чипами A14 и новее, где конфигурация USB DART и другие механизмы безопасности делают эксплуатацию данного вектора атаки невозможной. Таким образом, пользователи устройств на базе A12 и A13 остаются уязвимыми на протяжении всего срока службы своих гаджетов, что может составлять пять и более лет.

Этот инцидент подчёркивает важность аппаратных механизмов безопасности. В отличие от программных уязвимостей, которые можно закрыть патчами, аппаратные дефекты остаются на всём жизненном цикле устройства. Это делает их особенно опасными в условиях длительной эксплуатации устройств, таких как смартфоны или планшеты. Apple уже предприняла шаги по усилению защиты в более поздних поколениях чипов, но для миллионов пользователей, использующих устройства на базе A12 и A13, риск остаётся актуальным. В долгосрочной перспективе это может стимулировать рынок подержанных устройств, где пользователи будут стремиться к более новым моделям с аппаратной защитой.

Технические детали: почему A12/A13 уязвимы, а A11 и новее — нет

Разница в уязвимости между чипами Apple обусловлена несколькими ключевыми изменениями в архитектуре. В чипах A12 и A13 USB-драйвер не сбрасывает DMA-адрес после каждого пакета, что позволяет накапливать ошибку в указателе записи. В A11 драйвер выполняет ручное сбрасывание адреса после обработки каждого пакета, что предотвращает возникновение переполнения. Начиная с A14, Apple изменила конфигурацию USB DART, переведя его в режим, который блокирует несанкционированный доступ DMA к критически важным областям памяти. Это делает эксплуатацию уязвимости через данный вектор атаки невозможной.

Ещё одним важным аспектом является расположение DMA-буфера относительно стека задач. На A12 DMA-буфер вплотную прилегает к стеку задачи USB на куче, что позволяет перезаписывать сохранённые регистры, включая регистр возврата. Это даёт злоумышленнику возможность контролировать выполнение кода на уровне SecureROM. На A13 задача усложняется из-за наличия механизма Pointer Authentication, который защищает указатели и адреса возврата. Однако, как показывает прототип, этот механизм не является абсолютной преградой, и эксплойт всё равно может быть реализован, хотя и с большими трудностями.

Что делать пользователям и как оценить риски

Для пользователей устройств на базе A12 и A13 основной рекомендацией является максимальное ограничение физического доступа к устройствам. Это означает хранение смартфона или планшета в безопасном месте, использование чехлов с защитой от несанкционированного вскрытия и избегание передачи устройства третьим лицам в неконтролируемой обстановке. Если устройство всё же попало в руки злоумышленника, необходимо как можно скорее его заменить на модель с чипом A14 или новее. Поскольку уязвимость неисправима программно, единственным способом защиты остаётся аппаратное обновление.

Для корпоративных пользователей и организаций, работающих с конфиденциальными данными, риски особенно высоки. В таких случаях рекомендуется провести аудит используемых устройств и заменить все гаджеты на базе A12 и A13 на более защищённые модели. Также стоит рассмотреть возможность внедрения дополнительных мер физической безопасности, таких как использование устройств с поддержкой аппаратных токенов или двухфакторной аутентификации на уровне загрузки. В условиях, когда атака может быть выполнена за две секунды, время реакции должно быть минимальным.

Последствия для индустрии и будущее аппаратной безопасности

Публикация эксплойта usbliter8 ставит перед Apple и другими производителями важные вопросы о качестве аппаратных проверок в процессе разработки чипов. Если ошибка в конфигурации USB DART и драйвере USB осталась незамеченной на этапе проектирования, это может указывать на необходимость усиления процессов верификации и тестирования. В будущем производители могут уделять больше внимания анализу аппаратных уязвимостей ещё на стадии проектирования, а также внедрять более строгие механизмы защиты на уровне SecureROM и загрузчиков.

Для пользователей этот инцидент служит напоминанием о том, что аппаратные уязвимости не менее опасны, чем программные, и их последствия могут быть более долгосрочными. В условиях, когда устройства используются на протяжении многих лет, важно учитывать не только текущие возможности безопасности, но и потенциальные риски, связанные с аппаратными дефектами. В долгосрочной перспективе это может стимулировать спрос на устройства с более длительным сроком поддержки аппаратных обновлений или на рынке устройств с заменяемыми компонентами, что позволит пользователям обновлять критически важные части системы без замены всего гаджета.

Прогноз: что ждёт устройства на базе A12 и A13 в будущем

Хотя эксплойт usbliter8 представляет серьёзную угрозу, его эксплуатация требует значительных усилий и физического доступа, что ограничивает масштабы возможных атак. Тем не менее, появление работающего прототипа и публикация технических деталей делают эту уязвимость привлекательной для злоумышленников, специализирующихся на целенаправленных атаках. В будущем можно ожидать, что появятся более автоматизированные инструменты для эксплуатации данной уязвимости, что может повысить риски для пользователей.

Apple, вероятно, продолжит миграцию на более защищённые чипы, такие как A14 и новее, но миллионы устройств на базе A12 и A13 останутся уязвимыми на протяжении многих лет. Для пользователей это означает необходимость быть особенно внимательными к физической безопасности своих устройств и рассмотреть возможность их замены в ближайшие годы. В условиях, когда аппаратные уязвимости становятся всё более распространёнными, важно отдавать предпочтение устройствам с длительным сроком поддержки и аппаратными механизмами защиты, которые минимизируют риски эксплуатации подобных дефектов.