Una nuova vulnerabilità hardware scoperta dai ricercatori di Paradigm Shift riporta l’attenzione sui rischi permanenti associati ai componenti più profondi della catena di avvio dei dispositivi Apple. L’exploit, denominato usbliter8, consente di ottenere l’esecuzione di codice arbitrario all’interno del BootROM dei dispositivi basati sui chip A12 e A13, sfruttando una combinazione di difetti presenti nel controller USB e nella configurazione del SecureROM. La caratteristica più preoccupante della scoperta è che la vulnerabilità non può essere corretta tramite aggiornamenti software, poiché risiede direttamente nell’hardware e nel codice immutabile inciso nel silicio. Per gravità e impatto, la scoperta viene già paragonata a checkm8, l’exploit che nel 2019 rivoluzionò la ricerca di sicurezza sui dispositivi Apple basati sui chip precedenti. Sebbene l’attacco richieda accesso fisico al dispositivo e l’attivazione della modalità DFU, il livello di controllo ottenibile è tale da compromettere completamente la catena di boot.
Cosa leggere
Come funziona l’exploit usbliter8
L’attacco sfrutta una vulnerabilità presente nel controller USB Synopsys DWC2 integrato nei SoC A12 e A13. Durante la gestione dei pacchetti USB Setup, il controller utilizza un meccanismo DMA che archivia fino a tre pacchetti in un ring buffer. Quando viene elaborato un quarto pacchetto, il controller resetta l’indirizzo base del DMA decrementandolo di 24 byte indipendentemente dalla reale dimensione dei dati ricevuti. Questa logica genera una condizione di buffer underflow controllabile dall’attaccante. Poiché i pacchetti più piccoli vengono trattati in blocchi da quattro byte mentre il puntatore viene avanzato solo della dimensione effettiva del pacchetto, si crea una primitiva di scrittura arbitraria di circa dodici byte che può essere utilizzata per corrompere strutture critiche della memoria. I ricercatori hanno dimostrato che questa capacità è sufficiente per alterare il comportamento del SecureROM e ottenere il controllo dell’esecuzione del codice durante le primissime fasi dell’avvio del dispositivo.
La compromissione sui chip A12
Nei dispositivi equipaggiati con processore A12, il buffer DMA vulnerabile si trova in prossimità dello stack utilizzato dal task USB del BootROM. Questo consente agli attaccanti di sovrascrivere un saved Link Register, modificando il flusso di esecuzione e ottenendo il controllo del Program Counter. Una volta alterata la sequenza di esecuzione, il dispositivo può essere indirizzato verso codice arbitrario scelto dall’attaccante. In pratica l’exploit consente di uscire dal flusso di boot previsto da Apple e di eseguire istruzioni non autorizzate all’interno del contesto privilegiato del SecureROM. Questa fase rappresenta il punto di svolta dell’intero attacco perché permette di superare i meccanismi di protezione normalmente presenti nelle prime fasi dell’avvio del sistema operativo.
Il bypass delle protezioni PAC sugli A13
Sui dispositivi dotati di chip A13, Apple ha introdotto ulteriori difese hardware tra cui il sistema Pointer Authentication (PAC). I ricercatori di Paradigm Shift sono tuttavia riusciti a superare anche questa protezione sfruttando una tecnica più complessa. L’exploit corrompe specifici metadati dell’heap e manipola le routine di cleanup del BootROM per ottenere primitive di scrittura più potenti rispetto a quelle disponibili inizialmente. Attraverso questa catena di corruzione della memoria diventa possibile sovrascrivere l’handler degli interrupt USB e trasferire il controllo a codice arbitrario eseguito in modalità EL1 direttamente all’interno del SecureROM. Questo passaggio consente di raggiungere un livello di privilegio estremamente elevato e di compromettere completamente la fiducia della catena di avvio del dispositivo.
L’attacco richiede la modalità DFU
Per eseguire usbliter8 è necessario che il dispositivo venga posto in modalità DFU (Device Firmware Update), ambiente utilizzato normalmente per operazioni di ripristino e manutenzione. L’exploit viene attivato inviando una sequenza di pacchetti USB appositamente costruiti che sfruttano il comportamento vulnerabile del controller DWC2. I ricercatori hanno sviluppato una scheda dedicata basata sul microcontrollore RP2350, capace di completare l’intero attacco in meno di due secondi. Sebbene questa procedura richieda accesso fisico al terminale, dimostra come la compromissione possa essere automatizzata e replicata con hardware relativamente economico. La disponibilità di un proof-of-concept pubblico aumenta inoltre l’interesse della comunità di ricerca e degli sviluppatori di strumenti di analisi forense e jailbreak.
I dispositivi Apple vulnerabili
La vulnerabilità interessa tutti i dispositivi basati sui processori A12 e A13, una categoria che comprende numerosi modelli ancora largamente utilizzati. Tra questi figurano iPhone XS, iPhone XS Max, iPhone XR, iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max e iPhone SE. Sono coinvolti anche diversi tablet come iPad Air, iPad mini e iPad. La lista comprende inoltre Apple Watch Series 4, Apple Watch Series 5, Apple Watch SE e HomePod mini. I dispositivi basati su A11 non risultano vulnerabili perché utilizzano una gestione differente dell’indirizzo DMA, mentre i chip A14 e successivi implementano una configurazione più rigorosa del DART, l’IOMMU utilizzato da Apple per isolare gli accessi diretti alla memoria.
Perché la vulnerabilità non può essere corretta
L’aspetto più critico della scoperta riguarda la sua natura permanente. Il difetto è presente sia nel controller hardware USB sia nel SecureROM, componente che costituisce il primo livello della catena di avvio Apple. Il BootROM è inciso direttamente nel silicio durante la produzione del chip e non può essere modificato successivamente tramite aggiornamenti firmware o patch software. Questo significa che tutti i dispositivi vulnerabili continueranno a esserlo per l’intera durata della loro vita operativa. La situazione ricorda da vicino quella dell’exploit checkm8, anch’esso impossibile da correggere sui dispositivi già distribuiti. Anche installando le versioni più recenti di iOS o iPadOS, il comportamento vulnerabile del SecureROM rimane invariato.
Il controllo ottenibile tramite usbliter8
Una volta eseguito correttamente, l’exploit consente di compromettere completamente la catena di boot del dispositivo. Gli attaccanti possono avviare immagini iBoot non firmate, disattivare restrizioni normalmente imposte durante la produzione del SoC, installare handler USB personalizzati e modificare componenti fondamentali del processo di avvio. I ricercatori hanno inoltre dimostrato la possibilità di alterare la stringa seriale USB inserendo il marker identificativo PWND:[usbliter8], segnale tipico dei dispositivi compromessi a livello BootROM. Sebbene la ricerca non dimostri attualmente una compromissione diretta del Secure Enclave, il controllo ottenuto amplia notevolmente la superficie di attacco e potrebbe favorire future attività di ricerca volte a esplorare ulteriori componenti protetti dell’ecosistema Apple.
Impatto reale e scenari di rischio
Per gli utenti comuni il rischio pratico rimane relativamente limitato perché l’attacco richiede il possesso fisico del dispositivo e competenze tecniche avanzate. Tuttavia il quadro cambia in contesti ad alta sensibilità come amministrazioni governative, aziende strategiche, giornalisti investigativi, attivisti e operatori della sicurezza. In questi scenari la semplice possibilità che un dispositivo venga temporaneamente sottratto o lasciato incustodito può rappresentare una minaccia concreta. Poiché Apple non può correggere la vulnerabilità tramite aggiornamenti software, la principale misura di mitigazione consiste nella migrazione verso dispositivi basati su chip A14 o successivi. Gli utenti che continuano a utilizzare terminali A12 o A13 dovrebbero evitare collegamenti USB non fidati, limitare l’accesso fisico ai propri dispositivi e valutare un aggiornamento hardware. La scoperta di usbliter8 dimostra ancora una volta come le vulnerabilità presenti nei livelli più bassi dell’hardware possano sopravvivere per anni, continuando a rappresentare un rischio anche quando il software viene costantemente aggiornato e mantenuto sicuro.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
