Sicherheitsforscher von Paradigm Shift haben mit usbliter8 einen neuen unpatchbaren SecureROM-Exploit für Apple-Geräte mit A12-, A13-, S4- und S5-Chips veröffentlicht. Für normale Nutzer bleibt das Risiko aber begrenzt, da physischer Zugriff auf das Gerät erforderlich ist.
usbliter8: Neuer unpatchbarer Exploit betrifft Apple-Geräte mit A12- und A13-Chips
Sicherheitsforscher von Paradigm Shift haben mit usbliter8 einen neuen SecureROM-Exploit für mehrere Apple-Chips veröffentlicht. Betroffen sind laut den Forschern Geräte mit A12, A13 sowie S4 und S5. Das Besondere daran: Die Schwachstelle sitzt sehr tief in der Boot-Kette und lässt sich deshalb nicht einfach per iOS-, iPadOS- oder watchOS-Update beheben.
Was ist usbliter8?
Bei usbliter8 handelt es sich um einen BootROM beziehungsweise SecureROM-Exploit. Dieser setzt an einer sehr frühen Stelle des Startvorgangs an, also noch bevor iOS oder iPadOS vollständig geladen werden. Laut Paradigm Shift kombiniert der Angriff eine Hardware-Schwachstelle im USB-Controller mit einer bestimmten Konfiguration in der Geräte-Firmware.
Dadurch kann unter bestimmten Bedingungen eigener Code in einem sehr frühen Boot-Stadium ausgeführt werden. Das macht die Schwachstelle technisch interessant, aber auch sicherheitsrelevant. Denn Fehler in diesem Bereich können nicht wie klassische Softwarefehler durch ein normales Update vollständig beseitigt werden.
Diese Apple-Geräte können betroffen sein
Betroffen sind vor allem ältere Apple-Geräte mit den genannten Chips. Dazu gehören unter anderem:
- iPhone XR
- iPhone XS und iPhone XS Max
- iPhone 11, iPhone 11 Pro und iPhone 11 Pro Max
- iPhone SE der 2. Generation
- iPad Air der 3. Generation
- iPad mini der 5. Generation
- iPad der 8. und 9. Generation
- Apple Watch Series 4
- Apple Watch Series 5
- Apple Watch SE der 1. Generation
Auch Geräte wie der HomePod mini, der Apple TV 4K der 2. Generation und das Studio Display nutzen entsprechende Chip-Generationen. Bei A12X und A12Z, also einigen iPad-Pro-Modellen, sei eine technische Unterstützung laut den Forschern möglich, aktuell aber nicht umgesetzt.
Kein klassischer Angriff aus der Ferne
Wichtig ist die Einordnung: usbliter8 ist kein Angriff, der einfach aus der Ferne über Safari, iMessage oder eine App ausgelöst wird. Für eine Ausnutzung ist physischer Zugriff auf das Gerät nötig. Außerdem muss das Gerät über USB in einem speziellen Wartungsmodus angesprochen werden. Für normale Nutzer ist das Risiko im Alltag deshalb deutlich geringer als bei einer aktiv ausnutzbaren Remote-Schwachstelle.
Trotzdem ist die Veröffentlichung relevant. BootROM-Exploits sind selten und können langfristig Auswirkungen auf Jailbreaks, Sicherheitsforschung und forensische Werkzeuge haben. Ähnlich bekannt wurde in der Vergangenheit bereits checkm8, das ältere Apple-Chips bis A11 betraf. usbliter8 erweitert diesen Bereich nun auf neuere Gerätegenerationen mit A12 und A13.
Secure Enclave bleibt laut Forschern nicht direkt betroffen
Ein wichtiger Punkt: Die Secure Enclave wird durch usbliter8 laut den Forschern nicht direkt kompromittiert. Die Secure Enclave ist bei Apple als separater Sicherheitsbereich ausgelegt und schützt unter anderem sensible Daten und kryptografische Schlüssel. Apple beschreibt die Secure Enclave selbst als isoliertes Subsystem, das auch dann zusätzlichen Schutz bieten soll, wenn der Hauptprozessor kompromittiert wird.
Das bedeutet aber nicht, dass die Schwachstelle völlig harmlos wäre. Paradigm Shift weist darauf hin, dass der Exploit zusätzliche Angriffsflächen eröffnen kann. Ein direkter Zugriff auf Passcodes oder verschlüsselte Nutzerdaten ist damit aber nicht automatisch gleichzusetzen.
Warum Apple das nicht einfach patchen kann
Der Grund für die Einstufung als „unpatchbar“ liegt in der Position der Schwachstelle. SecureROM-Code ist fest im Chip hinterlegt. Er wird bei der Herstellung eingebrannt und kann später nicht einfach ersetzt werden. Apple kann über Softwareupdates zwar zusätzliche Schutzmaßnahmen in späteren Boot-Stufen einbauen, den eigentlichen Fehler im ROM aber nicht vollständig entfernen.
Paradigm Shift selbst nennt deshalb den Wechsel auf neuere Hardware als wirksamste Maßnahme. A14 und neuere Chipgenerationen sollen von usbliter8 nicht betroffen sein, da die entsprechenden Schutzmechanismen dort anders konfiguriert sind.
Proof of Concept wurde veröffentlicht
Neben der technischen Analyse wurde auch ein Proof of Concept auf GitHub veröffentlicht. Das Repository beschreibt usbliter8 als tethered BootROM-Exploit für Apple A12-, S4/S5- und A13-SoCs. Kurz nach der Veröffentlichung hatte das Projekt bereits mehrere hundert Sterne gesammelt.
Für normale Anwender ist daraus aber keine akute Panik abzuleiten. Die Ausnutzung ist technisch anspruchsvoll, benötigt Zugriff auf die Hardware und ist nicht mit einem einfachen Klick auf einen Link vergleichbar.
Was Nutzer jetzt beachten sollten
Wer ein betroffenes Gerät nutzt, sollte weiterhin alle verfügbaren iOS-, iPadOS- oder watchOS-Updates installieren. Diese schließen zwar nicht die eigentliche SecureROM-Schwachstelle, können aber andere Sicherheitslücken schließen und zusätzliche Schutzmaßnahmen enthalten.
Zusätzlich gilt: Geräte nicht unbeaufsichtigt aus der Hand geben, starke Passcodes verwenden und bei besonders sensiblen Daten langfristig über ein neueres Gerät mit A14 oder neuer nachdenken.
Quelle: Paradigm Shift
